Grupo Silver Fox explora driver vulnerável para fraudes financeiras

BR Defense Center (By River de Morais e Silva)
malware

O grupo de cibercriminosos conhecido como Silver Fox tem utilizado um driver vulnerável, o “amsdk.sys”, associado ao WatchDog Anti-malware, em um ataque do tipo Bring Your Own Vulnerable Driver (BYOVD). Este driver, que é um dispositivo do kernel do Windows assinado pela Microsoft, apresenta falhas que permitem a desativação de soluções de segurança em sistemas comprometidos. A campanha, identificada pela Check Point, visa neutralizar produtos de proteção de endpoint, facilitando a instalação de malware sem acionar defesas baseadas em assinatura.

O ataque utiliza uma estratégia de dois drivers, empregando um driver vulnerável conhecido para máquinas com Windows 7 e o driver WatchDog para Windows 10 e 11. O objetivo final é implantar o malware ValleyRAT, que oferece controle remoto ao invasor. Após a divulgação responsável, a WatchDog lançou um patch para mitigar o risco de escalonamento de privilégios, mas os atacantes rapidamente adaptaram suas táticas, manipulando um único byte para manter a assinatura da Microsoft.

Silver Fox, também conhecido como SwimSnake, tem se mostrado ativo desde 2022, focando em vítimas de língua chinesa e utilizando métodos como phishing e engenharia social para disseminar trojans de acesso remoto. A relevância deste incidente é alta, pois envolve tecnologias amplamente utilizadas e apresenta riscos significativos de segurança e compliance, especialmente no contexto da LGPD.

Fonte: https://thehackernews.com/2025/09/silver-fox-exploits-microsoft-signed.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
02/09/2025 • Risco: ALTO
MALWARE

Grupo Silver Fox explora driver vulnerável para fraudes financeiras

RESUMO EXECUTIVO
O grupo Silver Fox utiliza um driver vulnerável para comprometer sistemas e implantar malware, representando uma ameaça significativa para empresas que utilizam tecnologias Microsoft. A manipulação de drivers assinados destaca a necessidade de vigilância contínua e atualização de medidas de segurança.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras significativas devido a fraudes e roubo de dados.
Operacional
Comprometimento de sistemas e instalação de malware sem detecção.
Setores vulneráveis
['Tecnologia da Informação', 'Financeiro', 'Educação']

📊 INDICADORES CHAVE

Driver vulnerável identificado: amsdk.sys (versão 1.0.600) Indicador
Campanha ativa desde 2022, com foco em usuários de língua chinesa. Contexto BR
ValleyRAT como payload final, oferecendo controle remoto. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a presença do driver amsdk.sys em sistemas críticos.
2 Aplicar patches de segurança e monitorar atividades suspeitas em endpoints.
3 Monitorar comunicações de rede para detectar conexões com servidores de comando e controle.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a exploração de drivers assinados que não estão listados em blocklists, representando uma nova fronteira de vulnerabilidades.

⚖️ COMPLIANCE

Implicações diretas na LGPD, com necessidade de proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).