Malware Licik Ini Mampu Lumpuhkan Antivirus di Komputer
Ilustrasi.
Peretas telah menemukan cara untuk melumpuhkan alias menonaktifkan antivirus atau program perlindungan lain di komputer. Mereka melakukannya dengan memanfaatkan celah keamanan di driver grafis.
Peneliti kemanan siber dari Sophos baru saja memaparkan bagaimana peretas melakukan metode yang disebut sebagai "Bring Your Own Vulnerable Driver" dan menggunakannya untuk mengeksploitasi perangkat untuk kejahatan atau pemerasan.
Menurut penelitian tersebut, kelompok pemeras siber BlackByte menerobos celah yang dikenal sebagai CVE-2019-16098.
Scroll untuk membaca
Scroll untuk membaca
Ia dapat ditemukan pada RTCore64.sys dan RTCore32.sys, driver yang digunakan oleh perangkat lunak MSI AfterBurner 4.6.2.15658 dari Micro-Star.
AfterBurner adalah utilitas overclock untuk GPU (unit pemroses grafis) yang memungkinkan pengguna mengatur perangkat keras grafis mereka.
Memblokir Driver
Celah tersebut memungkinkan pengguna terauntefikasi membaca dan menulis ke memori arbitrary. BlackByte pun mengeksploitasinya untuk melumpuhkan lebih dari 1.000 driver yang dibutuhkan produk keamanan seperti antivirus untuk berjalan.
“Kemungkinan besar mereka akan terus menyalahgunakan driver resmi untuk menerobos produk keamanan,” kata Sophos dalam postingan blog mereka menekankan pada ancaman tersebut,
Untuk mencegah serangan dengan metode terbaru ini, Sophos menyarankan admin IT menambahkan driver MSI tersebut ke dalam daftar blokir (blocklist) dan memastikan mereka tidak berjalan di endpoint.
Lebih lanjut, para pengelola IT patut mewaspadai semua driver yang diinstal di perangkat, dan mengaudit endpoint secara berkala untuk melihat penyuntikan yang tampak tidak selaras dengan perangkat keras.
Meski baru, metode "Bring Your Own Vulnerable Driver" disebut tengah meningkat pesat popularitasnya.
Awal pekan ini, peretas jahat yang disponsori Korea Utara, Lazarus Group, terpantau menggunakan teknik serupa untuk menyerang perusahaan komputer Dell.
Peneliti menyebut yang membuat metode ini licik karena driver yang dieksploitasi tidak dianggap sebagai berbahaya. Karena itu, program antivirus tidak menganggapnya sebagai ancaman.
