Hoy en día, los ataques de malware están aumentando rápidamente y todos los usuarios, así como las empresas, están haciendo todo lo posible para evitar situaciones no deseadas.
Dado que los softwares antivirus son la clave para evadir tales ataques, es por eso que todos los usuarios y empresas confían en ellos para mantenerse a salvo. Aquí, el software antivirus desempeña una tarea de tiempo completo para detener dichos ataques de malware y mantener seguros a los usuarios y las empresas.
Pero todos estos software tienen una debilidad que podría ser una forma de que los actores de amenazas desactiven la protección del software.
Una vez que los piratas informáticos desactivan toda la protección de alta seguridad, pueden tomar fácilmente todo el control del software y pueden realizar la operación mal dispuesta según su plan.
The University of London and the University of Luxembourg have given a brief detail regarding this twin attack. They asserted that currently, they are aiming to bypass the protected folder feature that is being offered by the antivirus programs.
However, these features mainly encrypt the files that are the cut-and-mouse and disable the real-time protection just by replicating the mouse click that is the Ghost Control.
Coordinated and Responsible Disclosure
The security researchers affirmed that they are sticking to an ethical code of conduct, as they know all the possible risks that can occur due to these two attacks.
But, the experts have not yet disclosed the software that can be used to exploit the above-mentioned vulnerability.
Pero afirmaron que han realizado directamente todas las empresas antivirus y han compartido todos los detalles sobre estos ataques y todos los métodos posibles que les ayudarán a replicar los ataques.
Medidas existentes proporcionadas por el sistema operativo Windows
Para proteger los procesos de modificaciones no autorizadas, los expertos han mencionado las medidas de seguridad que proporciona el sistema operativo Windows, y aquí están: -
- Defensa contra ransomware en AV
- Protección de procesos mediante niveles de integridad
Cortar y mouse
Este ataque generalmente ayuda a los piratas informáticos a permitir que el ransomware eluda la detección de soluciones anti-ransomware, que se basan específicamente en carpetas protegidas, y luego cifra los archivos de la víctima.
Este ataque es el más crítico y no es fácil de eludir, pero los analistas han detectado dos puntos de entrada para el ataque, y esos dos puntos de entrada permiten que el malware eluda este sistema de defensa.
Aquí están los dos puntos de entrada que se mencionan a continuación: -
- UIPI (aislamiento de privilegios de interfaz de usuario) desconoce las aplicaciones confiables.
- Los AV no supervisan algunos mensajes de proceso.
Sin embargo, al usar esta vulnerabilidad, los atacantes pueden evitar la protección anti-ransomware controlando una aplicación confiable.
Control de fantasmas
Los expertos se han encontrado con una utilización excepcional pero muy simple del método sintetizado de incidentes de ratón, ya que permite a los actores de amenazas desactivar casi la mitad de los programas AV de los consumidores.
Aparte de todas estas cosas, los actores de amenazas pueden desactivar la protección antivirus simulando las acciones legales del usuario para que puedan activar fácilmente la interfaz gráfica de usuario (GUI) del programa antivirus.
Según el informe de análisis , hay dos razones por las que Ghost Control es capaz de desactivar los escudos de varios programas AV, y son:
- Interfaz AV con IL medio
- Acceso sin restricciones al componente de escaneo
Control de la protección en tiempo real de los AV
Para recopilar todas las coordenadas del mouse que están presentes en la pantalla, el prototipo generalmente usa la interfaz de programación de aplicaciones (API) GetCursorPos ().
Sin embargo, en cada clic del mouse simulado, el prototipo duerme durante casi 500 ms para asegurarse de que el siguiente menú esté fácilmente disponible para la siguiente GUI.
Al controlar la protección en tiempo real de los AV, los expertos han pronunciado dos formas de recopilar coordenadas para desactivar AV y detener la protección en tiempo real.
Medidas auxiliares omitidas
- Métodos inseguros de sandboxing
- Pasando la verificación humana (verificación CAPTCHA)
De las 29 soluciones antivirus que estaban siendo detectadas por los investigadores, se evaluó que 14 de ellas resultaron vulnerables al ataque de Ghost Control.
Mientras que, por otro lado, se probaron los 29 programas antivirus y se descubrió que cada antivirus tiene un alto riesgo de un ataque Cut-and-Mouse.
Además, los analistas de seguridad han llegado a la conclusión de que las soluciones de seguridad que se proporcionan a cada proveedor deben seguirse posteriormente. Aparte de esto, las empresas audiovisuales todavía están haciendo todo lo posible para implementar con éxito todas las defensas.