Se ha encontrado otra tortuga herramienta de asesino antivirus, así que asegúrese de estar protegido

4 2 minutes read

Se ha encontrado otra tortuga herramienta de asesino antivirus, así que asegúrese de estar protegido

Se vio el grupo de ransomware crypto24 deshabilitando la protección AV antes de implementar el encriptador
En algunos casos, incluso puede desinstalar los programas AV
Una defensa en capas es el mejor enfoque para mitigar la amenaza

Los investigadores de seguridad han encontrado otro antivirus-La herramienta de recolección que los hackers están utilizando antes de soltar cualquier carga útil adicional.

Los expertos de Trend Micro han descubierto una variante personalizada de la código abierto Herramienta llamada RealblindingEdr.

Esta herramienta viene con una lista codificada de nombres de la empresa antivirus:

Tendencia micro
Kaspersky
Sófos
Centinela
Malwarebytes
Inclinarse
McAfee
Defensor de bits
Broadcom (Symantec)
Cisco
Fortinet
Acronis

Cuando se implementa en un dispositivo, busca estos nombres en los metadatos del conductor, y si encuentra uno, deshabilita los ganchos/devoluciones de llamada a nivel de núcleo, esencialmente motores de detección cegadores. Los investigadores de Trend Micro descubrieron que los piratas informáticos también pueden desinstalar en silencio los programas antivirus por completo, abriendo las puertas y habilitando la implementación fácil de la etapa dos malware.

Crypto24

La herramienta fue vista en la naturaleza, utilizada por un colectivo de piratería llamado Crypto24, un naciente ransomware Grupo vio por primera vez en septiembre de 2024.

Sin embargo, los investigadores creen que el grupo está formado por ex miembros de otros colectivos de piratería desaparecidos, ya que sus miembros son altamente calificados y experimentados.

Cuando gana acceso inicial, establece la persistencia y elimina los obstáculos antivirus, el grupo generalmente despliega dos piezas de malware: un keylogger y un cifrador. Todos los secretos robados se exfiltran en una unidad de Google utilizando una herramienta personalizada.

La identidad, o ubicación, de Crypto24 es actualmente desconocida. Sin embargo, los investigadores dicen que en su breve vida útil, el grupo alcanzó con éxito varias organizaciones grandes en los Estados Unidos, Europa y Asia. La mayoría de sus objetivos están en finanzas, fabricación, tecnología y entretenimiento.

Hay muchas maneras de proteger contra los ataques que buscan deshabilitar la protección antivirus, incluida la opción de optar por una estrategia de defensa en capas.

Las empresas pueden usar un antivirus de buena reputación con protección de manipulación, permitir protección en tiempo real y firewalls, y usar una herramienta antimalware separada que pueda funcionar junto a un AV.