Специалисты по кибербезопасности из компании Trellix обнаружили, что хакеры нашли новый способ отключения антивирусных программ в целевых системах через использование легитимного, но старого драйвера Avast. Злоумышленники эксплуатируют уязвимость, позволяющую драйверу завершать процессы на уровне ядра.

Обзор телевизора Sber SDX-43U4169

Обзор игрового 4K IPS-монитора Gigabyte M27UP: разнообразия ради

Итоги 2025-го: ИИ-лихорадка, рыночные войны, конец эпохи Windows 10 и ещё 12 главных событий года

Обзор игрового QD-OLED WQHD-монитора Gigabyte AORUS FO27Q5P: на пределе возможностей

Итоги 2025 года: почему память стала роскошью и что будет дальше

Обзор ноутбука TECNO MEGABOOK S14 (S14MM): OLED с HDR как новая норма

Источник изображения: Ed Hardie / Unsplash

Согласно информации, атака, использует метод «принеси свой уязвимый драйвер» (BYOVD). Атакующие применяют старую версию драйвера антируткита Avast для остановки работы различных продуктов безопасности. Вредоносное ПО, известное как AV Killer, устанавливает драйвер под именем ntfs.bin в стандартную папку пользователя Windows.

Цепочка атак. Источник изображения: Trellix

После установки драйвера вредоносная программа создаёт сервис aswArPot.sys, используя утилиту Service Control (sc.exe). После этого, сверяются активные процессы системы с заранее заготовленным списком из 142 процессов, связанных с антивирусными приложениями. «Когда вирус находит совпадение, он самостоятельно создаёт идентификатор для взаимодействия с установленным драйвером Avast», — поясняет исследователь Тришан Калра (Trishaan Kalra) из компании Trellix.

Список процессов. Источник изображения: Trellix

Далее с помощью программного интерфейса API DeviceIoControl, вредоносное ПО отправляет команды IOCTL, необходимые для завершения работы целевых процессов. Среди целей атаки называются антивирусы от таких ведущих компаний, как McAfee, Symantec, Sophos и других. При этом способ отключения позволяет хакерам проводить вредоносные действия без оповещения пользователя или блокировки со стороны систем безопасности.

Список процессов. Источник изображения: Trellix

Стоит отметить, что сам по себе метод относительно архаичен. Аналогичные случаи были зафиксированы в начале 2022 года при анализе атак с использованием вымогателя AvosLocker.

В ответ на обнаруженные уязвимости Avast выпустила обновления безопасности своего драйвера, а Microsoft для защиты от подобных атак предлагает использовать политику блокировки уязвимых драйверов, активно обновляемую с каждым крупным релизом Windows.

Специализирующаяся на продуктах в области информационной безопасности компания Avast оштрафована на $14,8 млн Управлением по защите личных данных Чехии (ÚOOÚ) за незаконную обработку личных данных 100 млн пользователей антивируса и браузерных расширений.

Обзор ноутбука TECNO MEGABOOK S14 (S14MM): OLED с HDR как новая норма

Обзор игрового 4K IPS-монитора Gigabyte M27UP: разнообразия ради

Итоги 2025-го: ИИ-лихорадка, рыночные войны, конец эпохи Windows 10 и ещё 12 главных событий года

Обзор игрового QD-OLED WQHD-монитора Gigabyte AORUS FO27Q5P: на пределе возможностей

Обзор телевизора Sber SDX-43U4169

Итоги 2025 года: почему память стала роскошью и что будет дальше

Источник изображения: Avast

По мнению ÚOOÚ, Avast вводила в заблуждение пользователей утверждениями об использовании надёжных методов анонимизации данных, тогда как часть собираемой информации всё же могла быть использована для идентификации пользователей. Установлено, что в 2019 году Avast передала данные 100 млн пользователей своих продуктов занимавшейся продажей аналитики поведения пользователей и закрытой в 2020 году дочерней компании Jumpshot.

Avast уже заявила, что не согласна с выводами ÚOOÚ и рассматривает возможность дальнейших судебных действий, а также подчеркнула приверженность защите данных клиентов и их конфиденциальности. Компания не первый раз оказывается в эпицентре подобных скандалов. В феврале Федеральная торговая комиссия (FTC) США обвинила Avast в незаконной продаже данных пользователей, оштрафовав на $16,5 млн. По словам FTC, Avast годами собирала информацию о действиях клиентов в интернете, включая их поисковые запросы и посещаемые веб-сайты, используя собственные расширения браузера. Полученные данные передавались всё той же ныне закрытой Jumpshot.

Федеральная торговая комиссия (FTC) США объявила в четверг, что запретит разработчику антивирусного ПО Avast продавать рекламодателям данные о просмотре веб-страниц потребителями. При этом разработчик заявил, что его решения не позволяют отслеживать пользователей в интернете.

Итоги 2025 года: почему память стала роскошью и что будет дальше

Обзор ноутбука TECNO MEGABOOK S14 (S14MM): OLED с HDR как новая норма

Обзор телевизора Sber SDX-43U4169

Обзор игрового 4K IPS-монитора Gigabyte M27UP: разнообразия ради

Обзор игрового QD-OLED WQHD-монитора Gigabyte AORUS FO27Q5P: на пределе возможностей

Итоги 2025-го: ИИ-лихорадка, рыночные войны, конец эпохи Windows 10 и ещё 12 главных событий года

Источник изображения: StartupStockPhotos/Pixabay

Сообщается, что Avast урегулировала обвинения FTC на сумму $16,5 млн, что, по словам регулятора, позволит возместить ущерб пользователям Avast, чьи конфиденциальные данные о просмотре веб-страниц были незаконно проданы разработчиком рекламным компаниям и брокерам данных.

«Avast обещала пользователям, что её продукты защитят конфиденциальность их данных о просмотренных страницах, но сделала наоборот», — сообщил Сэмюэл Левин (Samuel Levine), директор Бюро по защите прав потребителей FTC, в своем заявлении в четверг, отметив, что практика Avast идёт вразрез с законом.

По словам FTC, Avast годами собирала информацию о действиях клиентов в интернете, включая их поисковые запросы и посещаемые веб-сайты, используя собственные расширения браузера Avast, которые, по её утверждению, «защитят вашу конфиденциальность», блокируя файлы cookie онлайн-отслеживания.

Эти данные Avast продавала через свою ныне закрытую дочернюю компанию Jumpshot более чем сотне компаний, заработав на этом десятки миллионов долларов. FTC утверждает, что данные, которые продавала Jumpshot, раскрывают религиозные убеждения пользователей, имеющиеся проблемы со здоровьем, политические взгляды, а также их местонахождение и другую конфиденциальную информацию.

Согласно совместному расследованию Vice News и PCMag, проведенному в январе 2020 года, Jumpshot продавала конфиденциальные данные о просмотре веб-страниц пользователями таким компаниям, как Google, Yelp, Microsoft, Home Depot и консалтинговому гиганту McKinsey. В частности, Jumpshot продавала данные о кликах своих пользователей, включая конкретные веб-ссылки, на которые нажимали пользователи.

На тот момент у Avast было более 430 млн активных пользователей по всему миру, а Jumpshot утверждала, что имеет доступ к данным со 100 млн устройств. Спустя несколько дней после публикации этого исследования Avast закрыла Jumpshot. В 2021 году Avast объединилась с Norton LifeLock и теперь входит в состав материнской компании Gen Digital, которая также владеет приложением CCleaner.

Комментируя сообщение регулятора, Avast заявила, что не согласна с «утверждениями и описанием фактического материала». «Когда Avast добровольно закрыла Jumpshot в 2020 году, она прекратила эту практику. Операционные положения мирового соглашения соответствуют текущим программам Avast по обеспечению конфиденциальности и безопасности», — отметила компания.