Silver Fox explota un driver firmado por Microsoft para distribuir ValleyRAT

Descripción

 

Silver Fox despliega una campaña que emplea la técnica Bring Your Own Vulnerable Driver (BYOVD), la cual consiste en aprovechar controladores vulnerables legítimos para eludir protecciones de seguridad, utilizando un controlador firmado por Microsoft, amsdk.sys (versión 1.0.600), y distribuir el troyano ValleyRAT. Al ser un driver legítimo, el bloqueador de drivers de Microsoft no lo detecta; por lo tanto, este módulo podría cargarse sin ser interceptado por soluciones de seguridad, facilitando la desactivación del antivirus y de otras medidas de seguridad del sistema.

 

Detalle técnico

 

Actores de amenazas están utilizando los controladores legítimos vulnerables que contienen múltiples vulnerabilidades y que provocan finalizar procesos arbitrarios sin verificar si se ejecutan con protección (PP/PPL) o escalada de privilegios locales, lo que les permite obtener acceso sin restricciones al dispositivo del controlador.

 

El ataque se basa en la coordinación de los controladores Zemana Anti-Malware SDK ("zam.exe") para sistemas Windows 7 y WatchDog Anti-malware en Windows 10 y 11, que proporcionan acceso remoto y control al atacante, junto con amsdk.sys, basado en el SDK de Zemana, destinado para instalar ValleyRAT (también conocido como Winos 4.0).

Una vez instalado, el malware realiza comprobaciones de detección de entornos virtuales, detección de ejecución en sandbox, detección de hipervisor, entre otras, y si alguna de estas comprobaciones falla, la ejecución se cancela y se muestra un falso mensaje de error del sistema. El dropper está diseñado para comunicarse con un servidor de comando y control (C2) e implementar un backdoor modular de ValleyRAT.

 

Tras estos ataques, Watchdog emitió un parche de seguridad para abordar el riesgo de LPE mediante la aplicación de una Lista de Control de Acceso Discrecional (DACL), pero no solucionó el problema de la finalización de procesos arbitrarios sin verificar, lo que provocó que los atacantes se adapten e incorporen una versión modificada alterando un solo byte sin invalidar la firma de Microsoft, evadiendo eficazmente las listas de bloqueo basadas en hash.

 

Recomendaciones

 

Protección

 

• Utilizar herramientas de análisis (Antivirus, EDR…) que detecten comportamiento sospechoso.
• Contar con un inventariado actualizado de  todos los activos.
• Mantener el sistema actualizado con los últimos parches de seguridad, tanto para el sistema operativo como para todo el software que se tenga instalado.
• No descargar software ilegal o no autorizado por las políticas de seguridad, ya que podría contener malware.
• Restringir el uso de redes P2P.
• Evitar el usuario “Administrador” para el uso general del sistema y del software instalado.
• Prestar atención cuando se navega por Internet y evitar descargar archivos de origen dudoso o que ofrecen soluciones de seguridad falsas.
• Se recomienda utilizar bloqueadores de Javascript en los navegadores para evitar la ejecución de scripts que puedan suponer un daño para nuestro equipo.
• Mostrar las extensiones para tipos de fichero conocidos, con el fin de identificar posibles archivos ejecutables que pudieren hacerse pasar por otro tipo de fichero.
• Aplicar los parches facilitados por el fabricante.

 

Detección

 

• Disponer de un EDR con capacidad proactiva de detección y mantenerlo siempre actualizado.

 

Mitigación

 

• Proceder a aislar los equipos de comprometidos para evitar la propagación del malware en la red.
• El fabricante no ha facilitado ninguna medida de mitigación para estas vulnerabilidades.

 

Referencias

 

https://thehackernews.com/2025/09/silver-fox-exploits-microsoft-signed.html