9 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a antivirus.
Nova técnica 'Zombie ZIP' permite que malwares se escondam em arquivos compactados para evitar detecção por antivírus e EDR. Método explora processamento de ZIP para burlar defesas tradicionais.
A infraestrutura de atualização do antivírus eScan (MicroWorld) foi usada para distribuir um downloader persistente por meio de updates maliciosos. A reportagem aponta comprometimento da cadeia de atualização, mas não traz métricas de alcance nem IoCs confirmados.
A MicroWorld Technologies confirmou que um servidor de atualização do antivírus eScan foi comprometido e utilizado para distribuir uma atualização não autorizada posteriormente analisada como maliciosa a um "pequeno subconjunto" de clientes. Detalhes como número exato de afetados, IOCs e assinaturas digitais não foram divulgados; equipes de segurança devem priorizar ingestão de indicadores oficiais, verificar integridade de updates e isolar endpo
PDFSIDER é um backdoor entregue via executável trojanizado do PDF24 Creator e que usa DLL sideloading, execução em memória e comunicação cifrada por DNS para evitar detecção por AV e EDR. Pesquisadores reportam uso por múltiplos grupos de ransomware e um intento contra uma empresa Fortune 100.
Anúncios em fórum clandestino promovem o NtKiller, ferramenta modular que alega encerrar antivírus e contornar EDRs. KrakenLabs e o veículo reportam funcionalidades como persistência early-boot e UAC bypass; porém, as capacidades não foram verificadas por terceiros. Organizações devem reforçar detecções baseadas em comportamento e proteger mecanismos de boot.
Quarkslab descreve exploração de named pipes no K7 Ultimate Security (testado em 17.0.2045) que permite manipulação de registro e execução em contexto SYSTEM; K7 lançou patches intermediários, mas pesquisadores demonstraram bypasses e recomendam atualização e revisão de ACLs.
Pesquisador Ryan Framiñán publicou o SilentButDeadly, ferramenta open-source que usa Windows Filtering Platform (WFP) para bloquear bidirecionalmente a conectividade em nuvem de agentes EDR/AV (SentinelOne, Defender, Defender ATP). A ação evita uploads de telemetria e recepção de comandos remotos, requer privilégios de administrador e gera artefatos detectáveis na WFP e em serviços.
Google Mandiant reporta exploração ativa de CVE-2025-12480 em Triofox (Gladinet). A falha permite bypass de autenticação via Host header e, combinada com má configuração do recurso de anti‑vírus, levou à execução automática de scripts como SYSTEM; Gladinet lançou a versão 16.7.10368.56560.
CVE-2025-12480 permite que atacantes contornem autenticação em Triofox (≤16.4.10317.56372) via injeção do cabeçalho Host e configurem o mecanismo de antivírus para executar scripts maliciosos com privilégios SYSTEM. A exploração resulta em criação de contas administrativas, implantação de agentes e túneis SSH reversos; Gladinet já liberou patch (16.7.10368.56560).