Terminator disattiva i principali antivirus

Terminator disattiva i principali antivirus

Terminator è un tool che consente di aggirare la protezione di 23 soluzioni di sicurezza attraverso un driver caricato in memoria con privilegi kernel.
Terminator disattiva i principali antivirus
Terminator è un tool che consente di aggirare la protezione di 23 soluzioni di sicurezza attraverso un driver caricato in memoria con privilegi kernel.

Un cybercriminale noto come Spyboy ha pubblicizzato su un forum russo il tool Terminator che permette di “terminare” i principali antivirus e le principali piattaforme XDR/EDR sul mercato. Il prezzo della versione per singole soluzioni di sicurezza è 300 dollari, mentre quello per il pacchetto “all-in-one” è 3.000 dollari (scontato a 1.500 dollari per i primi 5 acquirenti).

Terminator disattiva gli antivirus

Quasi tutti gli attacchi informatici prevedono l’uso di tecniche per aggirare la protezione delle soluzioni di sicurezza. In alcuni casi vengono utilizzati specifici tool, come Terminator. Spyboy afferma che il software, compatibile con le versioni di Windows da 7 a 11, può terminare 23 prodotti, tra cui quelli di Microsoft (Defender), Kaspersky, ESET, Avast, AVG, Symantec, McAfee, Panda, Bitdefender e Malwarebytes.

Un ricercatore di CrowdStrike ha scoperto che Terminator richiede i privilegi di amministratore. Il tool copia nella directory C:\Windows\System32\drivers\ una versione legittima e firmata del driver di Zemana Anti-Malware. Invece del nome ufficiale (zamguard64.sys o zam64.sys), al file viene assegnato un nome casuale con un numero causale di caratteri compreso tra 4 e 10.

La tecnica è simile a quella denominata BYOVD (Bring Your Own Vulnerable Driver). Successivamente, Terminator carica il driver in memoria e disattiva i processi degli antivirus. Non è chiaro come il tool sfrutti il driver legittimo, ma probabilmente viene utilizzato un exploit basato sulle vulnerabilità scoperte nel 2021.

Al momento, il driver viene considerato malware da un solo antivirus. Utilizzando Terminator è quindi possibile aggirare le soluzioni di sicurezza ed eseguire altre attività in maniera indisturbata, come il furto di dati e il download di altri payload.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
1 giu 2023
Link copiato negli appunti