In diverse occasioni sulle nostre pagine abbiamo parlato di sicurezza informatica, argomento che riveste un’importanza sempre maggiore in un mondo totalmente connesso e che si affida alla tecnologia per qualsiasi cosa come il nostro. Spesso la maggior parte degli utenti comuni crede che il semplice fatto di installare un antivirus sul proprio computer possa metterli al sicuro da quegli oscuri individui chiamati hacker, che a quanto pare smaniano per mettere le mani sui dati degli utenti.

Purtroppo non è esattamente così, se infatti un antivirus è comunque un ottima soluzione per proteggersi da alcune insidie informatiche, esso non può proteggere il nostro sistema da qualunque cosa; è infatti spesso necessaria anche una minima conoscenza e malizia da parte dell’utente nell’utilizzo del proprio dispositivo. Oggi vi parliamo di un nuovo strumento di hacking chiamato Terminator, in grado di disabilitare alcune tra le più note soluzioni di sicurezza antivirus disponibili su Windows.

Terminator è in grado di disattivare gli antivirus sui PC con Windows

Il nome scelto per lo strumento di hacking in questione la dice lunga, riporta alla mente l’iconico personaggio dei film di fantascienza e ne condivide alcune peculiarità: non si ferma davanti a niente, è pericoloso, può fare danni ed è inarrestabile.

Terminator è stato analizzato dagli esperti di CrowdStrike, azienda americana operativa nel settore della sicurezza informatica, che hanno evidenziato come lo strumento sia in vendita su appositi portali web ad un prezzo che oscilla tra i 300 dollari e i 3.000 dollari; non è noto chi ci sia dietro il tool di hacking, anche se il suo creatore (o gruppo di creatori) si fa chiamare Spyboy.

Stando a quanto riportato Terminator è in grado di disabilitare agilmente più di 20 tra le più comuni soluzioni di sicurezza antivirus (AV), rilevamento e risposta degli endpoint (EDR) e rilevamento e risposta estesa (XDR), incluso Windows Defender ed è utilizzabile contro computer che eseguono Windows 7 o versioni successive.

Uno sviluppatore del team di sicurezza sopra citato sottolinea come Terminator inserisca un legittimo Zemana Ltd. driver del kernel anti-malware firmato nella cartella C:\Windows\System32\, utilizzando un nome casuale compreso tra i 4 e i 10 caratteri (in circostanze normali il driver si chiamerebbe zamguard64.sys o zam64.sys). Si tratta dunque di una tipologia di attacco informatico BYOVD (Bring Your Own Vulnerable Driver), in cui driver effettivamente legittimi, che sono firmati con certificati validi e possono essere eseguiti con i diritti del kernel, vengono posizionati sui dispositivi delle vittime per disabilitare le soluzioni di sicurezza e assumere il controllo del sistema.

Fortunatamente, affinché l’attacco di Terminator possa essere portato a termine, il tool necessita che l’hacker di turno abbia accesso ai privilegi di amministratore del sistema da attaccare, le vittime devono quindi essere indotte ad accettare una finestra pop-up di controllo dell’account utente che appare durante l’esecuzione dello strumento, che non è dunque in grado di operare in maniera completamente invisibile (anche se lo sarebbe per la maggior parte degli utenti comuni o poco attenti).

Sfortunatamente però, sembra che al momento quasi tutti i principali fornitori di soluzioni di sicurezza non abbiano ancora preso le dovute contromisure, il driver dannoso infatti viene attualmente rilevato come vulnerabile solo da un singolo motore di scansione anti malware; c’è da dire che Microsoft in primis ha provveduto negli ultimi tempi a disabilitare alcuni certificati di driver compromessi, proprio nel tentativo di ovviare ad attacchi simili, ma è comunque qualcosa di facilmente aggirabile per chi sa come fare.

Insomma, Terminator rappresenta sicuramente un potente strumento di hacking che, se acquistato, potrebbe essere pericoloso anche nelle mani di utenti meno esperti di coloro che lo hanno sviluppato, contribuendo potenzialmente ad aumentarne la diffusione; i fornitori di soluzioni di sicurezza informatica farebbero bene ad adeguare quanto prima i propri prodotti, mentre gli utenti dovrebbero cercare di prestare maggiore attenzione a qualsiasi richiesta sottoposta dal proprio sistema, evitando di accettare a vanvera qualsiasi opzione proposta da Windows.

Potrebbe interessarti anche: MSI ha subito un attacco hacker e invita gli utenti alla prudenza