Hacker russo vende ferramenta Terminator que supostamente é capaz de contornar qualquer programa antivírus

Terminator and antivirus programs

Uma ferramenta chamada Terminator apareceu em um dos fóruns de hackers russos, e, segundo seu autor, pode destruir qualquer programa antivírus, bem como plataformas XDR e EDR. Especialistas em segurança da informação também relataram que Devido às sanções, Hackers russos estão procurando novas maneiras de lavar dinheiro. “Exterminador do Futuro” supostamente pode ignorar um total de 24 diferentes soluções antivírus, Detecção e resposta de endpoint e Detecção e resposta estendidas soluções em dispositivos com Windows 7 e mais alto.

Considere ler sobre a análise dos métodos de um grupo de hackers russo Wizard Spider, e um $1 oferta de milhões do Departamento de Estado para obter informações sobre hackers russos.

A ferramenta Terminator ignora ferramentas antivírus

O autor da ferramenta, conhecido pelo pseudônimo “Espião“, vende seu produto de $300 para um tipo de desvio de detecção para $3,000 para todos os tipos de uma vez.

A seguir EDRs não pode ser vendido separadamente: SentinelaOne, Sophos, CrowdStrike, Negro de Fumo, Córtex, Cilance. Mas ransomware e armários são proibidos, e eu não sou responsável por tais ações.- hacker.

Para usar o Terminator, os clientes exigem privilégios administrativos nos sistemas Windows de destino, e, portanto, é necessário de alguma forma enganar o usuário para que aceitando o Controle de Conta de Usuário do Windows (UAC) Aparecer que será exibido quando a ferramenta for iniciada. Isso já é uma dor de cabeça para o cliente, não para o desenvolvedor de software malicioso. Um engenheiro da CrowdStrike em sua postagem sobre Reddit descobri que “Exterminador do Futuro” está sendo vendido sob um slogan mais alto do que realmente é. Como acabou, a ferramenta simplesmente despeja um arquivo legítimo assinado Zemana driver antivírus – “zamguard64.sys” ou “zam64.sys” no “C:\WindowsSystem32” pasta do sistema de destino.

Depois que o driver mencionado acima for gravado no disco, “Exterminador do Futuro” carrega-o para obter privilégios elevados no nível do kernel para encerrar os processos do antivírus, EDR e XDR programas em execução no dispositivo. Atualmente, apenas um VirusTotal mecanismo de verificação antivírus detecta este driver como vulnerável. Felizmente, pesquisadores em Nextron Sistemas já partilharam indicadores de compromisso (COI) que pode ajudar os profissionais de segurança a detectar um driver vulnerável usado pela ferramenta Terminator antes que cause algum dano.

O que então?

Traga sua própria vida ataques são comuns entre invasores que gostam de injetar cargas maliciosas “silenciosamente”. Nestes tipos de ataques, hackers usam drivers completamente legítimos com certificados válidos e a capacidade de executar com privilégios de kernel, usado, claro, para outros fins – para desabilitar soluções de segurança e assumir o controle do sistema. Uma ampla gama de grupos cibercriminosos tem usado essa técnica há anos, de gangues com motivação financeira a grupos de hackers apoiados pelo Estado.

Em abril, Sophos escreveu sobre malware semelhante desenvolvido por outro grupo de invasores. Uma ferramenta de hacking chamada AuKill permitiu que criminosos desabilitassem soluções EDR graças a um driver vulnerável de um programa legítimo de terceiros, Explorador de processos, e até foi usado por um tempo em Bloqueio ataques.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *