PingWest品玩2月8日讯,据cnBeta引述安全公司Sophos警告称,新的勒索软件攻击使用了易受攻击的技嘉驱动程序,试图闯入Windows系统,然后禁用正在运行的安全软件。
该攻击基于2018年在技嘉驱动程序中发现的安全漏洞,该安全漏洞在CVE-2018-19320中有详细说明。该驱动程序在技嘉确认该错误后已被废弃,它允许恶意攻击者利用此漏洞来尝试访问设备并部署第二个驱动程序,目的是杀死系统当中的杀毒产品。
这次黑客使用的勒索软件称为RobbinHood,它要求受害者付款以解锁其文件。赎金记录上写着,如果他们不付款,价格每天就会增加1万美元。利用技嘉gdrv.sys驱动程序的可执行文件称为Steel.exe,它提取Windows temp文件夹中名为ROBNR.exe的文件,该文件依次提取两个不同的驱动程序,一个由Gigabyte开发(易受攻击),另一个用于禁用受损设备上的防病毒软件。一旦该漏洞被利用,Windows驱动程序签名强制将被禁用,从而允许启动恶意驱动程序。