Pesquisadores de cibersegurança identificaram uma nova campanha maliciosa que utiliza a técnica Bring Your Own Vulnerable Driver (BYOVD) para desativar proteções de segurança e assumir o controle de sistemas infectados. Segundo Trishaan Kalra, pesquisador da Trellix, o malware instala um driver legítimo do Anti-Rootkit da Avast (aswArPot.sys) e o manipula para fins destrutivos. O processo se inicia com a execução de um arquivo chamado kill-floor.exe, que instala o driver da Avast e o registra como serviço por meio da ferramenta Service Control (sc.exe), permitindo ao malware realizar ações maliciosas no sistema.

Após a ativação, o driver oferece ao malware acesso ao nível do kernel, possibilitando a finalização de 142 processos, incluindo aqueles associados a softwares de segurança. Essa operação é realizada através de capturas instantâneas dos processos em execução, que são comparados com uma lista pré-definida de alvos a serem eliminados. No entanto, o vetor inicial de acesso utilizado para instalar o malware ainda não foi identificado, assim como a amplitude dos ataques e as potenciais vítimas.

A técnica BYOVD tem se tornado cada vez mais popular entre atores de ameaças, especialmente em campanhas de ransomware. Essa abordagem explora drivers legítimos, mas vulneráveis, para contornar controles de segurança, destacando a necessidade de manter drivers atualizados e reforçar medidas de proteção em sistemas corporativos e pessoais.