Se llama Spyboy y ha aparecido en foros rusos prometiendo que, quienes compren su programa, podrán acabar con la seguridad de todos los antivirus, así como de las plataformas de seguridad EDR y XDR. Su oferta ha resonado con fuerza y no ha tardado en llegar a los oídos de algunos de los mayores especialistas en seguridad del sector.
De esto es capaz
Algunos especialistas se preocuparon al ver el mensaje que había publicado Spyboy, el cual afirma poner en las manos de los clientes la capacidad para acabar con más de las 20 soluciones principales de seguridad que se usan en ordenadores del mundo entero. Su software no solo acabaría con sistemas EDR y XDR, sino que estaría preparado para terminar con antivirus tan reconocidos como Windows Defender. Y promete que las defensas del sistema operativo de Microsoft caerán no solo en la versión actual, sino también en todas a partir de Windows 7.
Tras realizar las investigaciones pertinentes, lo que se ha descubierto es que lo que está vendiendo el hacker en cuestión es un driver malicioso. Una vez lo instala, se ha podido ver cómo se derribaban las defensas de un antivirus, pero es obvio que todavía hay mucho que investigar. Además, es importante tener en cuenta el funcionamiento de Terminator para poder protegerse.
Así funciona la amenaza
Spyboy comenzó a vender su programa a finales del pasado mes en RAMP y ha utilizado una agresiva campaña publicitaria en la que asegura poder acabar con la seguridad de algunos de los principales antivirus. A Windows Defender también hay que sumar Avast, ESET, Kaspersky, AVG, BitDefender, Mcafee, Malwarebytes o Sophos, entre otros. La lista está llena de nombres importantes y eso podría suponer que el sector de la seguridad se encontrase ante uno de los mayores retos de los últimos años.
El vendedor comercializa dos opciones: un ataque individual o una tarifa plana para poder usar el programa sin límite. Los precios son de 300 y 3.000 dólares respectivamente, por lo que en estos días en los que lo ha estado vendiendo podría haberse llegado a embolsar una cantidad muy elevada. También asegura que hay algunos ataques concretos que no los puede ofrecer de forma individual, por lo que así presiona para que sus clientes hackers hagan la compra de la versión completa. No se olvida remarcar que, sorpresa, su sistema no se debería usar para ataques maliciosos y que él no se hace responsable de nada.
Una vez se ha formalizado la venta y ha cobrado, Spyboy explica que, para poder realizar el ataque al antivirus, es necesario tener privilegios de administrador en el ordenador que lo vaya a recibir. También aparecerá un mensaje pop-up en el que habrá que pulsar en Aceptar mientras se esté realizando el ataque. No son pasos precisamente fáciles de gestionar incluso para los hackers, pero eso no le resta peligro a la amenaza.
A TA going by the handle Spyboy is selling an AV/EDR killer that is allegedly capable of killing almost every AV/EDR on the market.https://t.co/uZ7keYNW0ohttps://t.co/ou14kraiTJ pic.twitter.com/GL3EkqGl9P
— Soufiane (@S0ufi4n3) May 29, 2023
Tras esto, lo que hace el hacker es instalar en el ordenador en cuestión un controlador de kernel de la herramienta Zemana anti-malware, el cual se presenta con el nombre de zamguard64.sys o zam64.sys. Luego copia ese archivo a la carpeta C:WindowsSystem32 definiendo un nombre distinto, uno que tiene una extensión de un mínimo de cuatro caracteres y un máximo de diez. A partir de ese punto, el hacker puede seguir con el ataque. Lo que hace es cargarlo y usar los privilegios que tiene de kernel para acabar con los sistemas de seguridad que se encuentren activos en ese momento.
Todavía falta mucho que descubrir acerca de la herramienta que está comercializando, pero se está comparando con los procesos BYOVD (Bring Your Own Vulnerable Driver). También mencionan que, en estos momentos, solo hay una herramienta de seguridad que detecta el software como una amenaza: Elastic. Eso supone un importante problema que, no obstante, se espera que se solucione pronto, puesto que ya se han emitido los avisos pertinentes para que los antivirus trabajen en ello. Por si estás preocupado, que tengas la herramienta Zemana en tu ordenador no significará necesariamente que hayas sido atacado con esta amenaza. Pero, en caso afirmativo, mantente alerta a las próximas novedades.
