De criminelen achter de AvosLocker-ransomware maken gebruik van een driver van antivirusbedrijf Avast om virusscanners en andere beveiligingssoftware op aangevallen systemen uit te schakelen. Dat laat antivirusbedrijf Trend Micro weten. De driver in kwestie moet systemen tegen rootkits beschermen.
In het geval van AvosLocker gebruikt de ransomware de driver om aanwezige beveiligingssoftware te neutraliseren en detectie te voorkomen. Het gaat hierbij om de software van andere antivirusleveranciers. Volgens Trend Micro laat dit zien dat aanvallers, zodra ze toegang tot systemen hebben, steeds geraffineerder worden in het gebruik van legitieme tools om hun malafide activiteiten te verbergen.
Trend Micro waarschuwde Avast. Het antivirusbedrijf stelt dat er een kwetsbaarheid in een oude versie van de driver aswArPot.sys aanwezig is. Dit beveiligingslek is vorig jaar juni verholpen. Avast heeft met Microsoft samengewerkt om ervoor te zorgen dat Windows 10 en 11 de oudere versie van de driver blokkeren, zodat die niet in het geheugen geladen kan worden.
De Windows-update die hiervoor zorgt werd afgelopen februari als optionele update aangeboden en vorige maand als beveiligingsupdate. Windowsmachines die up-to-date zijn, zijn dan ook niet meer kwetsbaar voor deze aanval, aldus Avast in een reactie tegenover Trend Micro.
Deze posting is gelocked. Reageren is niet meer mogelijk.