Double Agent, quando gli antivirus diventano malware

Il mondo del malware e degli attacchi cybernetici si arricchisce ogni giorno di più di nuove modalità per “fare breccia” nei dispositivi degli utenti: Double Agent, in tal senso, è l’ultimo esempio di una tecnologia in costante evoluzione, capace di eludere anche i più sofisticati antivirus.

Double Agent è stato scoperto dal team di ricercatori di Cybellum, specializzata nella ricerca di soluzioni malware. Si tratta di una tecnica di manipolazione dei software utilizzati per la protezione dei nostri computer affinché gli antivirus possano essere trasformati in vero e proprio malware. Il nuovo exploit farebbe leva su una funzione particolare di un tool Microsoft offerto ai developer, ovvero Tool Application Verifier.

Questo software permetterebbe di scoprire eventuali bug presenti all’interno delle applicazioni in sviluppo, ma un particolare feature di Verifier consentirebbe di iniettare un file DLL accuratamente modificato durante l’esecuzione del programma, andando ad influire sul comportamento dell’antivirus in esecuzione. Da software studiato per la protezione dei nostri dispositivi, quindi, Double Agent potrebbe rendere ogni programma di sicurezza un pericoloso vettore di malware.

L’attacco documentato da Cybellum sarebbe particolarmente efficiente e pericoloso, dal momento che è stata riscontrata compatibilità con molte versioni di Windows, da XP al recentissimo Windows 10; e la maggior parte di antivirus sembra essere vulnerabile all’exploit di Double Agent, che può prendere il controllo del sistema, modificare i file in blacklist, impossessarsi dei dati personali dell’utente e installare backdoor.

I tool per sicurezza che hanno ceduto all’attacco di Double Agent sono numerosi, tra questi: Avast, Avira, AVG, Bitdefender, ESET, F-Secure, Trend Micro, Comodo, Kaspersky, Malwarebytes, Quick Heal, McAfee, Panda, e Norton). Va comunque detto che le società AVG, Trend Micro e Malwarebytes hanno provveduto tempestivamente al rilascio di una patch protettiva, che risolve la vulnerabilità. Attendiamo quindi che anche i rimanenti produttori di software antivirus forniscano soluzioni per tutti gli utenti, pur sapendo che potremmo trovarci entro breve davanti ad una versione potenziata di DoubleAgent, come spesso accade con questo tipo di malware.

via