Ferramenta criminosa promete desativar qualquer antivírus do mercado
Por Felipe Demartini | Editado por Wallace Moté | 02 de Junho de 2023 às 14h24
Uma nova ferramenta maliciosa chamada Terminator promete desligar qualquer antivírus ou sistema de proteção corporativa disponível no mercado. Promovida em fóruns cibercriminosos russos, ela é vendida por valores considerados altos, mas especialistas de segurança apontam que seu real funcionamento já é conhecido, a partir de explorações de drivers vulneráveis.
- Os melhores antivírus gratuitos e pagos | Guia completo
- 7 pontos a considerar ao escolher o antivírus ideal
A divulgação indica que o Terminator é capaz de agir contra plataformas de segurança de 24 fornecedores em dispositivos com Windows 7 ou versões mais recentes. O Terminator é comercializado por um usuário chamado Spyboy por preços que vão de US$ 300 (cerca de R$ 1,5 mil) para uma única desativação até US$ 3.000, ou cerca de R$ 15 mil, para ações contra todos os sistemas suportados.
A ideia é que, com o desligamento de antivírus e plataformas de proteção, se abrem as portas para outros tipos de ataques, que podem envolver a implantação de malware ou o sequestro de arquivos. Spyboy, entretanto, é contra o uso de ransomware aliado à sua ferramenta, afirmando antes mesmo da compra que o Terminator não tem responsabilidade alguma sobre ataques dessa categoria.
O que é vendido como uma suposta ferramenta poderosa, entretanto, foi considerada um truque manjado pela empresa de segurança CrowdStrike. A técnica usada pelo Terminator seria um ataque do tipo Bring Your Own Driver (BYOD), com o uso de arquivos notoriamente vulneráveis do Windows como porta de entrada para a obtenção de privilégios de administração que possibilitariam o desligamento das plataformas de segurança.
A empresa foi além e indicou que o golpe utiliza um driver legítimo e assinado pela fornecedora de sistemas antimalware Zemana. Após ser carregado no Windows, o que exigiria que o usuário fosse ludibriado a aceitar um pedido de instalação, o Terminator receberia os privilégios necessários para agir, em uma técnica usada há anos, principalmente, em ataques contra sistemas corporativos ou operações de espionagem executadas por estados-nação.
Ainda que bem conhecida, a CrowdStrike aponta que a tática pode ser eficaz. O driver usado pelo Terminator é detectado como vulnerável por somente uma solução de segurança das mais de 50 disponíveis na plataforma VirusTotal, enquanto métodos envolvendo e-mails de phishing ou o compartilhamento de arquivos maliciosos podem ser usados para possibilitar o comprometimento de PCs.
Com a divulgação, esse panorama deve mudar. Até lá, a recomendação é de atenção a arquivos anexos, mensagens suspeitas via e-mail ou indicações de download de soluções, principalmente se elas ativarem mecanismos de proteção do Windows. Manter antivírus ativos também vai ajudar na proteção, principalmente depois que o driver e assinaturas ligadas ao Terminator forem adicionadas a mais soluções disponíveis no mercado.