Por $500: antivirus y EDR ya no bastan — hackers ponen a la venta una herramienta para eludir las protecciones de Windows
En el mercado negro apareció un "desactivador de seguridad" con precio de cientos de dólares y un coste adicional por el rootkit.
En foros clandestinos apareció un nuevo producto para quienes quieren trabajar de forma más silenciosa y durante más tiempo. Un atacante con el alias AlphaGhoul comenzó a promocionar la utilidad NtKiller que, según el autor, puede desactivar sin ser detectada los antivirus y los sistemas de detección en los equipos finales, ayudando a ejecutar carga maliciosa en los equipos infectados y a evadir la detección.
En la publicidad se afirma que NtKiller es capaz de actuar contra soluciones populares, incluidas Microsoft Defender, ESET, Kaspersky, Bitdefender y Trend Micro. Se subraya además que en modos agresivos la herramienta supuestamente también puede eludir soluciones EDR corporativas, lo que hace la historia especialmente preocupante para las empresas que confían en el conjunto tradicional de medidas de protección.
Los especialistas de KrakenLabs señalaron la capacidad declarada de NtKiller de mantenerse en el sistema mediante mecanismos de arranque temprano. La idea es que la herramienta se fija en la etapa de inicio de Windows, antes de que muchos componentes de supervisión se inicien completamente y empiecen a monitorizar a fondo lo que sucede. Ese margen temporal ofrece al atacante un entorno más limpio para ejecutar la carga útil, cuando la probabilidad de detección es mínima y la posterior eliminación se vuelve mucho más complicada.
Según los investigadores, la herramienta se vende con un esquema modular. La funcionalidad básica se valora en $500, y las opciones adicionales, como rootkit y eludir UAC, se ofrecen por $300 cada una. Ese precio y la estructura de paquetes parecen un intento de convertir el desarrollo en un producto comercial orientado a ventas estables dentro del mercado criminal.
En la descripción de NtKiller se declaran capacidades que van más allá de la mera terminación de procesos de programas de protección. Entre ellas se mencionan técnicas de evasión relacionadas con la desactivación de HVCI, manipulaciones de VBS y eludir el mecanismo de integridad de la memoria. También se indica protección contra la depuración y el análisis, lo que dificulta a los investigadores y a los sistemas automáticos desentrañar el comportamiento de la herramienta y deja una brecha entre las promesas comerciales y lo que realmente hace.
Otra función críticamente peligrosa en la publicidad se denomina «elusión silenciosa de UAC», que permite obtener privilegios elevados sin las ventanas estándar de Windows que podrían alertar al usuario. En combinación con capacidades de rootkit, esto potencialmente proporciona a los atacantes una presencia prolongada en la máquina con baja visibilidad para la monitorización estándar.
Al mismo tiempo se enfatiza que las características declaradas aún no han sido confirmadas por investigadores independientes externos y que la eficacia real de NtKiller sigue sin estar clara. Ante ofertas similares, se recomienda a las organizaciones mantener la vigilancia y apoyarse no solo en firmas, sino también en mecanismos de detección basados en el comportamiento, capaces de responder a intentos de suprimir componentes de protección y de fijarse de forma sigilosa en el sistema.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla