Découverte d'un malware exploitant une vulnérabilité de driver pour désactiver les antivirus
Les chercheurs de Kaspersky ont dĂ©couvert un nouveau malware, surnommĂ© AV killer, qui exploite le driver lĂ©gitime ThrottleStop.sys pour dĂ©sactiver les processus de sĂ©curitĂ© en utilisant des techniques BYOVD (Bring Your Own Vulnerable Driver). Cette menace a Ă©tĂ© active depuis octobre 2024, ciblant principalement des victimes en Russie, BiĂ©lorussie, Kazakhstan, Ukraine et BrĂ©sil dans le cadre de campagnes de ransomware MedusaLocker. LâaccĂšs initial a Ă©tĂ© obtenu via des attaques RDP brute force, suivi par lâutilisation de Mimikatz pour lâextraction de crĂ©dentiels, permettant ensuite un mouvement latĂ©ral avant le dĂ©ploiement de lâAV killer pour dĂ©sactiver les dĂ©fenses Ă travers le rĂ©seau. ...