Un hacker ruso vende una herramienta Terminator que supuestamente puede eludir cualquier programa antivirus

Terminator and antivirus programs

Una herramienta llamada Terminator apareció en uno de los foros de hackers rusos., y, según su autor, puede destruir cualquier programa antivirus, así como plataformas XDR y EDR. Especialistas en seguridad de la información también informaron que Debido a las sanciones, Los piratas informáticos rusos buscan nuevas formas de blanquear dinero. «terminador» supuestamente puede evitar un total de 24 diferentes soluciones antivirus, Detección y respuesta de terminales y Detección y respuesta ampliadas soluciones en dispositivos con Windows 7 y más alto.

Considere leer sobre el análisis de los métodos de un grupo de hackers ruso Wizard Spider, y un $1 Oferta de un millón del Departamento de Estado para obtener información sobre los hackers rusos.

La herramienta Terminator evita las herramientas antivirus

El autor de la herramienta., conocido por el seudónimo «chico espía«, vende su producto de $300 para que un tipo de derivación de detección $3,000 para todo tipo a la vez.

La siguiente EDR no se puede vender por separado: centinelauno, Sofos, Multitud de huelga, Negro carbón, Corteza, cilance. Pero el ransomware y los lockers están prohibidos., y no soy responsable de tales acciones.- hacker.

Para utilizar Terminator, Los clientes requieren privilegios administrativos en los sistemas Windows de destino., y por lo tanto es necesario engañar de alguna manera al usuario para que aceptando el Control de cuentas de usuario de Windows (UAC) surgir que se mostrará cuando se inicie la herramienta. Esto ya es un dolor de cabeza para el cliente., no para desarrolladores de software malicioso. Un ingeniero de CrowdStrike en su publicación en Reddit descubrió que «terminador» se vende bajo un eslogan más ruidoso de lo que realmente es. Como se vio despues, la herramienta simplemente descarga un archivo legítimo firmado Zemana controlador antivirus – «zamguard64.sys» o «zam64.sys» en el «C:\WindowsSystem32» carpeta del sistema de destino.

Después de que el controlador mencionado anteriormente se escriba en el disco, «terminador» lo carga para obtener privilegios elevados a nivel del kernel para finalizar los procesos del antivirus, EDR y XDR programas que se ejecutan en el dispositivo. Actualmente, sólo uno VirusTotal El motor de análisis antivirus detecta este controlador como vulnerable.. Afortunadamente, investigadores en Sistemas Nextrón ya han compartido indicadores de compromiso (COI) que puede ayudar a los profesionales de seguridad a detectar un controlador vulnerable utilizado por la herramienta Terminator antes de que cause algún daño.

Entonces que?

BYOVD Los ataques son comunes entre los atacantes a quienes les gusta inyectar cargas útiles maliciosas. «silenciosamente». En este tipo de ataques, Los piratas informáticos utilizan controladores completamente legítimos con certificados válidos y la capacidad de ejecutarse con privilegios del kernel., usado, por supuesto, para otros fines – para desactivar las soluciones de seguridad y hacerse cargo del sistema. Diversos grupos de ciberdelincuentes llevan años utilizando esta técnica, desde pandillas con motivación financiera hasta grupos de hackers respaldados por el estado.

En abril, Sofos escribió sobre malware similar desarrollado por otro grupo de atacantes. Una herramienta de hacking llamada AuKill permitió a los delincuentes desactivar las soluciones EDR gracias a un controlador vulnerable de un programa legítimo de terceros, Explorador de procesos, e incluso fue utilizado por un tiempo en BloquearBit ataques.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *