Silver Fox Explora Driver Microsoft-Assinado do WatchDog para Distribuir Malware ValleyRAT

O grupo de ameaça cibernética Silver Fox está explorando um driver vulnerável previamente desconhecido associado ao WatchDog Anti-malware em ataques BYOVD (Bring Your Own Vulnerable Driver). O driver "amsdk.sys" (versão 1.0.600) é assinado pela Microsoft e não estava listado na lista de bloqueio de drivers vulneráveis da empresa.

Estratégia de Ataque

• Dual-driver: Usa driver Zemana conhecido para Windows 7 e driver WatchDog não detectado para Windows 10/11
• Objetivo: Neutralizar soluções de segurança de endpoint para implantar o malware ValleyRAT
• Técnicas: Escalação de privilégios locais e terminação arbitrária de processos

Características do Ataque

O loader contém features anti-análise, dois drivers embutidos, lógica antivirus killer e downloader do ValleyRAT. Se detectar ambientes virtuais ou sandbox, aborta a execução e exibe mensagem de erro falsa.

Adaptação dos Ataques

Após patch parcial da WatchDog, os atacantes adaptaram-se alterando apenas um byte no driver, mantendo a assinatura válida da Microsoft enquanto geravam novo hash para bypass de blocklists.

Contexto do Silver Fox

Grupo altamente ativo desde 2022, foca em vítimas de língua chinesa usando:

• Sites falsos (Google Chrome, Telegram, ferramentas AI)
• Software open-source trojanizado
• Phishing por WeChat e e-mails
• Quatro subgrupos especializados, incluindo um focado em fraudes financeiras

A campanha demonstra como threat actors estão evoluindo para explorar drivers assinados desconhecidos, representando uma ameaça sofisticada e em constante evolução.