Backdoor SprySOCKS ganha variantes para Windows com stealth baseado em driver
Backdoor SprySOCKS expande para Windows com variantes WIN_DRV e WIN_PLUS, utilizando stealth baseado em driver para evitar detecção.
Tag
Tag: driver
9 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a driver.
Microsoft 365 falha de serviço contorna controles de atualização de driver no Windows
Falha no serviço de cache da Microsoft 365 contornou controles de atualização de driver no Windows, permitindo instalações não autorizadas em dispositivos gerenciados, levantando preocupações sobre governança de endpoint e conformidade.
Google Project Zero revela cadeia de exploits zero-click para dispositivos Pixel 10
Pesquisadores do Google Project Zero demonstraram uma cadeia de exploits zero-click que compromete dispositivos Pixel 10. A exploração combina falhas no framework Dolby e no driver VPU para obter acesso root sem interação do usuário, exigindo atualização imediata do sistema.
Pesquisador reengenha 0-day usado para desativar EDR CrowdStrike
Um pesquisador descobriu um novo ataque BYOVD que pode desligar soluções de segurança de endpoint, incluindo o CrowdStrike Falcon. A técnica permite contornar defesas tradicionais e comprometer ambientes de endpoint.
Black Basta embute driver vulnerável no payload para evasão (BYOVD)
Symantec observou campanhas do Black Basta que embutem um driver vulnerável (NsecSoft NSecKrnl) no próprio payload para neutralizar soluções de segurança (BYOVD). A exploração associada ao CVE‑2025‑68947 permite requisições I/O control maliciosas para terminar agentes de proteção, facilitando a criptografia sem bloqueio pelos EDRs.
Grupo Interlock usa zero‑day de driver anti‑cheat para desativar EDR e AV
O grupo Interlock está usando a ferramenta "Hotta Killer" que explora um driver de anti‑cheat vulnerável (CVE‑2025‑61155) para executar comandos no kernel e encerrar processos de segurança, facilitando exfiltração e criptografia em ataques direcionados ao setor educacional.
Campanha que usa driver TrueSight desativa EDR antes de ransomware
Pesquisadores alertam para campanha que utiliza variantes assinadas do driver TrueSight (RogueKiller/Adlice) para carregar código no kernel e terminar processos de EDR/antivírus, abrindo caminho para ransomware e RATs. A técnica explora um IOCTL vulnerável em TrueSight 2.0.2 e já foi observada por múltiplos grupos.
Pesquisa mostra técnica que oculta processos mesmo com PatchGuard
Pesquisadores da Outflank documentaram um método que oculta processos no Windows manipulando estruturas de dados do kernel (ActiveProcessLinks). A técnica opera dentro das validações do PspProcessDelete, reparando ponteiros no momento de término para evitar falhas de integridade, e exige um driver em nível de kernel e assinatura válida.
ValleyRAT: builder vazado e rootkit em kernel alarmam defensores
Com o vazamento do builder do ValleyRAT, pesquisadores observaram aumento de amostras e destacaram que o malware contém um rootkit em modo kernel capaz de ser carregado em Windows 11, além de remover drivers de soluções de segurança.