Cibercriminosos estão usando drivers legítimos do Windows para desativar antivírus e ferramentas de detecção em ataques contra empresas. A técnica é conhecida como BYOVD, sigla em inglês para “traga seu próprio driver vulnerável”.
O método se aproveita de drivers reais, assinados digitalmente e confiáveis para o sistema operacional, mas que possuem falhas conhecidas. Como o Windows reconhece esses componentes como legítimos, os invasores conseguem carregá-los com menor chance de bloqueio imediato.
Depois que obtêm acesso administrativo a um computador, os atacantes instalam um desses drivers vulneráveis e o usam para interferir diretamente no funcionamento das defesas. O objetivo mais comum é encerrar processos de antivírus e EDR, deixando o sistema mais exposto.
Em alguns casos, os criminosos não desligam a ferramenta de segurança de forma visível. Eles apenas reduzem sua capacidade de monitoramento, fazendo com que pareça ativa enquanto deixa de enviar alertas ou registrar atividades suspeitas.
A técnica se tornou mais comum em campanhas de ransomware. Ao neutralizar as proteções antes da etapa final do ataque, os invasores aumentam as chances de criptografar arquivos, roubar dados e se mover pela rede sem serem detectados.



