新しいトリックを使用してアンチウイルス保護を無効にするAvosLockerランサムウェアバリアント

サイバーセキュリティの研究者は、パッチが適用されていないセキュリティの欠陥を利用して、ターゲットネットワークに侵入した後、ウイルス対策ソリューションを無効にして検出を回避するAvosLockerランサムウェアの新しい亜種を公開しました。
「これは、正規のアバストアンチルートキットドライバーファイル（asWarPot.sys）を使用して防御ソリューションを無効にする機能を備えた米国で最初に観察されたサンプルです」とトレンドマイクロの研究者、クリストパーオルドネスとアルビンニエトは月曜日の分析で述べました。
「HTAは、[コマンドアンドコントロール]サーバーに接続して任意のコマンドを実行できるシェルコードを含む難読化されたPowerShellスクリプトを実行しました」と研究者は説明しました。
後者は、ローカルネットワークをスキャンし、セキュリティソフトウェアを終了し、ランサムウェアのペイロードをドロップするための追加ツールを展開するために使用されます。
感染したエンドポイントにコピーされたコンポーネントの一部は、ネットワークをスキャンしてLog4Shellリモートコード実行の欠陥（CVE-2021-44228）を検出するNmapスクリプトと、悪意のあるバッチスクリプトを複数のエンドポイントに配信するPDQと呼ばれる大量展開ツールです。
バッチスクリプトは、その一部として、セキュリティ製品のセーフブート実行の防止、新しい管理者アカウントの作成に加えて、Windows Update、Windows Defender、およびWindowsエラー回復を無効にすることを可能にする幅広い機能を備えています。