Pesquisadores descobriram uma técnica que permite injetar código malicioso em processos de proteção protegidos, criando backdoors dentro das próprias instalações do produto de segurança. A abordagem explora serviços auxiliares e provedores de criptografia usados pelos antivírus para carregar um DLL malicioso durante a inicialização do serviço, obtendo privilégios elevados e evitando a detecção baseada em disco.
Leia também
CISO ganha espaço em conselhos de seguros e gestão de ativos
Cibercriminosos ameaçam clientes da Oracle por email
UM técnica começa clonando um serviço protegido do antivírus ao exportar e importar suas chaves de registro, criando um serviço duplicado que é carregado no boot. Em seguida o atacante altera o provedor de criptografia do Windows apontando para uma DLL controlada por ele, que será incluída pelo processo protegido ao iniciar. Para contornar verificações de assinatura, o método usa certificados clonados que tornam o carregamento mais confiável frente às verificações superficiais.
O autor publicou uma ferramenta chamada IAmAntimalware para automatizar o processo, integrando clonagem de serviços, modificação de provedores criptográficos, importação de certificados e ativação do clone. Em testes, uma técnica trabalhou contra fornecedores conhecidos, permitindo que uma DLL recebida escrevesse arquivos dentro da pasta de instalação de antivírus e executasse rotinas em contexto protegido, demonstrando risco real de persistência e evasão.
As mitigações recomendadas incluem monitorar cargas de módulos recebidos de caminhos não usuais, auditar certificados confidenciais no registro, aplicar restrições estritas a alterações de provedores criptográficos e reforçar o uso de Protected Process Light com validações de integridade mais rígidas. As equipes de resposta também devem detectar criações anômalas de serviços, alterações nas chaves HKLM relacionadas à criptografia e qualquer texto inesperado nas pastas de instalação de AV.
