Nástroje pro šíření škodlivého kódu a realizace kybernetických útoku se staly obchodovaným zbožím. Není novinkou, že na hackerských fórech se dají koupit různé typy malwaru, jejichž cena se liší podle míry škodlivosti, případně intenzity útoky. Rasnomwarové útoky se dokonce dají koupit jako služba včetně následného vydírání a požadování výkupného za dešifrování dat.
V současné době se na darknetu prodává nástroj s názvem "Terminator". Za tento velmi účinný škodlivý software údajně kybernetičtí zločinci platí až 3000 USD. Jeho autorem je vývojář, který si říká "Spyboy".
Tento nový druh malwaru je zvlášť nebezpečný svou schopností maskovat se před 24 běžně používanými antivirovými aplikacemi a dalšími nástroji, které se nasazují pro detekci podezřelého kódu. Týká se to i nástroje Windows Defender, který je součástí systému od Microsoftu. Zranitelné jsou všechny verze Windows, od sedmiček výše.
Hackerský nástroj Terminator: jak fungují útoky na uživatele systému Windows
Nebezpečí pro uživatele: prostřednictvím škodlivého kódu s názvem Terminator mohou útočnici získat kontrolu nad napadeným systémem. | Zdroj: form/PxHere
V příspěvku na Redditu vývojář ze společnosti CrowdStrike ukazuje, jakým způsobem Terminator umístí legitimní ovladač do adresáře C:/Windows/System32/Drivers. Ke své správné funkci potřebuje oprávnění správce a souhlas s funkcí Řízení uživatelských účtů (UAC, User Account Control). Jde o bezpečnostní technologii, poprvé představenou v operačním systému Windows Vista. Zvyšuje bezpečnost systému omezením oprávnění aplikacím na úroveň uživatele dokud administrátor nepotvrdí zvýšení práv aplikace. Terminator po spuštění s příslušnou úrovní oprávnění zapíše legitimní ovladač, podepsaný od "Zemana Anti-Malware". Ovladač má náhodný název v délce 4 až 10 znaků.
Výsledkem je zdání neškodnosti z pohledu antivirových řešení a dalších nástrojů pro ochranu systému. Útočník pak může ovládnout celý systém. K tomu ale zločinci potřebují na počítačích svých obětí administrátorská práva. Aby je získali, snaží se uživatele přimět aby klikli na vyskakovací okno s manipulativním obsahem, které se zobrazí při spuštění programu Terminator.
Podle informací antivirového agregátoru VirusTotal existuje v současné době pouze jeden antimalwarový software, který tento nástroj rozpoznal jako rizikový. Terminator patří do skupiny malwaru, jimiž lze realizovat útoky typu "Bring Your Own Vulnerable Driver". Jde o metodu, kterou se do zařízení přenesou legitimně se tvářící ovladače s cílem deaktivace antivirových a dalších ochranných řešení, a převezmou kontrolu nad systémem.
Zdroj: Bleeping Computer, Reddit