درایور امضاشده مایکروسافت راه ورود هکرها به ویندوز شد

گروه Silver Fox از درایور امضاشده مایکروسافت برای توزیع بدافزار ValleyRATبهره‌برداری کرده‌است.

به گزارش افتانا، گروه هکری Silver Fox با سوءاستفاده از یک درایور آسیب‌پذیر و امضاشده توسط مایکروسافت، حملاتBYOVD را برای غیرفعال‌سازی راهکارهای امنیتی روی سیستم‌های قربانی اجرا کرده است.

درایور آسیب‌پذیر amsdk.sys متعلق به نرم‌افزار ضدبدافزار WatchDog و ساخته‌شده بر پایه Zemana Anti-Malware SDK است. این درایور معتبر و امضاشده توسط مایکروسافت بود، اما در فهرست درایورهای آسیب‌پذیر مایکروسافت قرار نداشت و توسط پروژه‌های جامعه‌محور مانند LOLDrivers نیز شناسایی نشده بود.

مهاجمان بسته به نسخه ویندوز قربانی از دو درایور مختلف استفاده می‌کنند: درایور قدیمی Zemana برای ویندوز 7 و درایور WatchDog برای ویندوز 10 و 11. این درایورها امکان پایان دادن به هر فرایند دلخواه و همچنین ارتقای سطح دسترسی محلی (LPE) را به مهاجم می‌دهند و در نتیجه می‌توانند ابزارهای امنیتی را از کار بیندازند.

بر اساس گزارش شرکت Check Point، هدف این کمپین که از ماه می ۲۰۲۵ مشاهده شد، آماده‌سازی سیستم برای نصب و ماندگاری بدافزار ValleyRAT است. مهاجمان یک بارگذار همه‌کاره استفاده می‌کنند که شامل مکانیزم‌های ضدتحلیل، دو درایور آسیب‌پذیر، منطق نابودکننده آنتی‌ویروس و دانلودر DLL بدافزار است.

ValleyRAT پس از اجرا به سرور فرماندهی متصل شده و به مهاجم امکان دسترسی و کنترل از راه دور می‌دهد. این بدافزار دارای ماژول‌های متنوعی است؛ از جمله قابلیت گرفتن اسکرین‌شات از نرم‌افزارهایی مثل WeChat یا برنامه‌های بانکی آنلاین.
WatchDog پس از افشای مشکل، نسخه 1.1.100 را برای رفع آسیب‌پذیری LPE منتشر کرد، اما همچنان مشکل خاتمه‌ی فرایندها پابرجاست. مهاجمان نیز خیلی سریع نسخه اصلاح‌شده را با تغییر تنها یک بایت بازسازی کرده‌اند تا همچنان با امضای معتبر مایکروسافت اجرا شود و فهرست‌های مسدودسازی مبتنی بر هش را دور بزنند.

این نشان می‌دهد که مهاجمان سایبری فراتر از آسیب‌پذیری‌های شناخته‌شده حرکت کرده و حتی از درایورهای امضاشده و ناشناخته برای حمله استفاده می‌کنند؛ موضوعی که بسیاری از ابزارهای امنیتی را غافلگیر می‌کند.
گروه Silver Fox که با نام‌های دیگری چون SwimSnake و Valley Thief نیز شناخته می‌شود، از سال ۲۰۲۲ فعال است و عمدتاً کاربران چینی‌زبان را با وب‌سایت‌های جعلی (شبیه به کروم، تلگرام و ابزارهای هوش مصنوعی مانند DeepSeek هدف قرار می‌دهد. آنها بدافزارهای خود را از طریق پیام‌رسان‌هایی مانند WeChat، ایمیل‌های فیشینگ و حتی نسخه‌های آلوده نرم‌افزارهای پرکاربرد توزیع می‌کنند.

به گفته شرکت‌های امنیتی، این گروه دارای زیرشاخه‌های مختلف است؛ از جمله Finance Group که مسئول سرقت اطلاعات مالی و کلاهبرداری است. این شاخه از طریق طعمه‌هایی مثل اعلان‌های مالیاتی یا فاکتورهای الکترونیکی، بدافزار را به قربانیان تحمیل کرده و سپس حتی از حساب‌های شبکه‌های اجتماعی قربانی برای انتشار لینک یا QR فیشینگ در گروه‌های وی‌چت استفاده می‌کند تا اطلاعات بانکی افراد بیشتری را سرقت کند. کارشناسان، Silver Fox را یکی از فعال‌ترین و سازمان‌یافته‌ترین گروه‌های مجرمان سایبری در چین طی سال‌های اخیر می‌دانند که زنجیره‌ای کامل از جاسوسی اطلاعات، کنترل از راه دور و کلاهبرداری مالی را ایجاد کرده است.