Se ha descubierto otra herramienta maliciosa diseñada para desactivar antivirus.
Las herramientas para eliminar el software antivirus están adquiriendo cada vez más popularidad.
Investigadores de seguridad han identificado un nuevo instrumento utilizado por hackers que se enfoca en desactivar las protecciones de los antivirus antes de instalar cualquier carga adicional. Expertos de Trend Micro han descubierto una variante personalizada de una herramienta de código abierto conocida como RealBlindingEDR. Esta herramienta incluye una lista predeterminada de nombres de compañías de antivirus, que abarca Trend Micro, Kaspersky, Sophos, SentinelOne, Malwarebytes, Cynet, McAfee, Bitdefender, Broadcom (Symantec), Cisco, Fortinet y Acronis.
Cuando se activa en un dispositivo, busca esos nombres en los metadatos de los controladores y, al encontrarlos, desactiva los ganchos y callbacks a nivel de núcleo, lo que apaga efectivamente los motores de detección. Los investigadores de Trend Micro han observado que los atacantes son capaces incluso de desinstalar silenciosamente programas antivirus, lo que facilita la implementación de un segundo malware.
El grupo de hackers conocido como Crypto24, una reciente agrupación de ransomware detectada por primera vez en septiembre de 2024, ha utilizado esta herramienta. Se cree que sus miembros son antiguos integrantes de otros colectivos de hacking, ya que poseen habilidades y experiencia avanzadas.
Una vez que Crypto24 logra acceso inicial y remueve las barreras antivirus, suelen desplegar dos tipos de malware: un registrador de teclas (keylogger) y un encriptador. Toda la información comprometida es exfiltrada a una cuenta de Google Drive mediante una herramienta personalizada. Aunque aún se desconoce la identidad y ubicación del grupo, se ha informado que han atacado exitosamente a varias grandes organizaciones en Estados Unidos, Europa y Asia, principalmente en los sectores de finanzas, manufactura, tecnología y entretenimiento.
Para protegerse contra ataques que buscan deshabilitar la protección de los antivirus, se recomienda implementar una estrategia de defensa en varias capas. Las empresas pueden optar por un antivirus de buena reputación con protección contra modificaciones, habilitar la protección en tiempo real y los firewalls, además de utilizar una herramienta separada de antimalware que funcione en conjunto con el antivirus.
