En el ámbito de la ciberseguridad, ha surgido una nueva amenaza que podría afectar a millones de usuarios de Windows. Bautizada como «Terminator», esta herramienta maliciosa utiliza un controlador vulnerable de Windows para desactivar prácticamente cualquier software de seguridad, incluyendo antivirus y soluciones de detección y respuesta de punto final. El surgimiento de este método de ataque plantea una seria preocupación para los usuarios, ya que se ha convertido en una técnica popular entre los operadores de ransomware y hackers respaldados por estados en los últimos años.
La amenaza Terminator y su funcionamiento
«Terminator» está siendo vendido en un foro ruso de piratería conocido como Ramp, por un individuo malintencionado identificado como Spyboy. Este vendedor asegura que la herramienta es capaz de eludir las medidas de protección de al menos 23 soluciones de seguridad, con precios que oscilan entre los $300 por un único ataque y los $3,000 por un ataque completo.
Para utilizar esta herramienta, los atacantes primero necesitan obtener privilegios administrativos en los sistemas objetivo y engañar al usuario para que permita que la herramienta se ejecute a través de la ventana emergente de Control de Cuenta de Usuario (UAC). Una vez en marcha, «Terminator» inserta en la carpeta C:\Windows\System32\drivers\ un controlador de kernel legítimo y firmado por Zemana Anti-Malware. Lo novedoso es que el archivo recibe un nombre aleatorio entre cuatro y diez caracteres. Posteriormente, la herramienta simplemente termina con cualquier proceso de nivel de usuario creado por software antivirus o EDR.
Amplia afectación y detección de Terminator
El impacto de «Terminator» es significativo, ya que funciona en todos los dispositivos que ejecutan Windows 7 y versiones posteriores, lo que abarca prácticamente a todos los usuarios de Windows en la actualidad. Incluso aquellos que no utilizan soluciones de seguridad de terceros, como BitDefender, Avast o Malwarebytes, corren el riesgo de ser afectados, ya que incluso Windows Defender, el antivirus nativo de Microsoft, puede ser eludido por esta amenaza.
Aunque el autor de la herramienta afirma que solo puede engañar a 23 soluciones de seguridad, un análisis de VirusTotal revela que el archivo de controlador utilizado por «Terminator» no es detectado por 71 antivirus y soluciones EDR. Solamente Elastic ha identificado el archivo como potencialmente malicioso. Sin embargo, los expertos sugieren que se pueden emplear reglas YARA y Sigma creadas por investigadores de amenazas para identificar el controlador vulnerable mediante su hash o nombre, o bien bloquear el certificado de firma del controlador de Zemana Anti-Malware para mitigar este tipo de ataque.
El surgimiento de amenazas como «Terminator» subraya la importancia de la seguridad en línea y la necesidad de que los usuarios adopten medidas adecuadas para proteger sus sistemas y datos. La ciberdelincuencia está en constante evolución, y los hackers siempre buscan nuevas formas de sortear las defensas de seguridad. Es esencial que los usuarios mantengan sus sistemas operativos y software de seguridad actualizados, implementen prácticas seguras de navegación y estén atentos a posibles señales de actividad maliciosa. Además, las empresas y los desarrolladores de software deben seguir mejorando sus soluciones de seguridad para hacer frente a estas amenazas emergentes y proteger a sus usuarios de manera efectiva.
Fuente: https://wwwhatsnew.com/2023/06/03/nueva-amenaza-de-ciberseguridad-terminator-pone-en-riesgo-a-usuarios-de-windows/