Os agentes de ameaças estão priorizando a neutralização de sistemas de detecção e resposta de endpoint (EDR) para permanecerem furtivos no mundo dinâmico dos ataques cibernéticos em vários estágios.
Desde 2022, a sofisticação do malware aumentou, com ferramentas projetadas especificamente para desabilitar o EDR em endpoints comprometidos.
Esses utilitários, geralmente desenvolvidos por afiliados de ransomware ou provenientes de mercados clandestinos, aproveitam soluções de empacotador como serviço, como o HeartCrypt, para ofuscação.
Um exemplo notável é a ferramenta AVKiller, incorporada em amostras repletas de HeartCrypt, que foi observada em campanhas de ransomware ativas.
Essa carga útil, detectada em meio a milhares de artefatos semelhantes, exibe camadas de proteção pesadas, tem como alvo uma lista variável de fornecedores de segurança e depende de drivers maliciosos assinados com certificados comprometidos.
Sofisticação crescente nas táticas de evasão de EDR
Por exemplo, uma variante, uA8s.exe (SHA-1: 2bc75023f6a4c50b21eb54d1394a7b8417608728), injeta código malicioso em utilitários legítimos como o Clipboard Compare do Beyond Compare, decodificando a si mesmo após a execução para revelar um executável que verifica drivers nomeados aleatoriamente, como mraml.sys (SHA-1: 21a9ca6028992828c9c360d752cb033603a2fd93).
De acordo com um Sophos relatório, esses drivers, muitas vezes disfarçados de componentes legítimos (por exemplo, imitando o CrowdStrike Falcon Sensor), são assinados por entidades abusadas como Changsha Hengxiang Information Technology Co., Ltd., com certificados revogados desde 2016.
As iterações mais recentes empregam assinaturas da Fuzhou Dingxin Trade Co., Ltd., inválidas desde 2012, destacando a exploração de infraestrutura de assinatura expirada ou comprometida para contornar as proteções no nível do kernel.
A funcionalidade do AVKiller é multifacetada: ele encerra processos e serviços de fornecedores, incluindo Bitdefender, Cylance, F-Secure, Fortinet, HitmanPro, Kaspersky, McAfee, Microsoft, SentinelOne, Sophos, Symantec, Trend Micro e Webroot.
A lista de alvos varia entre as amostras, às vezes com foco em um ou dois fornecedores, outras vezes abrangendo uma matriz mais ampla, demonstrando adaptabilidade a ambientes específicos.
Se o driver necessário estiver ausente, a ferramenta será interrompida com um erro “Falha ao obter o dispositivo”, mas criará um serviço vinculado ao nome do driver, garantindo a persistência.
Os despejos de memória confirmam sua intenção, revelando cadeias de caracteres direcionadas a processos como MsMpEng.exe, SophosHealth.exe, SAVService.exe e sophosui.exe.
A detecção geralmente ocorre por meio de regras estáticas como Mal/HCrypt- ou Troj/HCrypt-, ou mitigações dinâmicas como SysCall, DynamicShellcode ou HollowProcess, ressaltando a dependência da ferramenta na evasão por meio de ofuscação pesada e injeção de código.
Implantações no mundo real
A implantação do AVKiller está fortemente associada às operações de ransomware, aparecendo em ataques de famílias, incluindo Blacksuit, RansomHub, Medusa, Qilin, Força do Dragão, Crytox, Lynx e INC, sugerindo potencial compartilhamento de ferramentas entre grupos.
Em um incidente típico do RansomHub, um dropper empacotado com HeartCrypt (por exemplo, vp4n.exe, SHA256: c793304fabb09bb631610f17097b2420ee0209bab87bb2e6811d24b252a1b05d) implanta o assassino, que carrega um driver como zsogd.sys.
Seguido pela execução de ransomware (por exemplo, FoPefI.exe, SHA256: e1ed281c521ad72484c7e5e74e50572b48ea945543c6bcbd480f698c2812cdfe) anexando extensões como .0416f0 e soltando notas como README_0416f0.txt.
Um caso MedusaLocker destacou o acesso inicial por meio de um dia zero Execução remota de código no SimpleHelp, disparando alertas do DynamicShellcode em 6Vwq.exe (SHA256: 43cd3f8675e25816619f77b047ea5205b6491137c5b77cce058533a07bdc9f98), descompactando para uma carga útil (SHA256: a44aa98dd837010265e4af1782b57989de07949f0c704a6325f75af956cc85de) visando seis fornecedores, sucedido pelo ransomware Medusa (SHA256: 3a6d5694eec724726efa3327a50fad3efdc623c08d647b51e51cd578bddda3da).
Um ataque de ransomware INC em junho de 2025 apresentou empacotamento em camadas, combinando um empacotador atualizado no estilo Impersonators com HeartCrypt no CSd2.exe (SHA256: ce1ba2a584c7940e499194972e1bd6f829ffbae2ecf2148cdb03ceeca906d151), extraindo cargas úteis (por exemplo, g., SHA256: 61557a55ad40b8c40f363c4760033ef3f4178bf92ce0db657003e718dffd25bd) e incorporando o assassino (SHA256: 597d4011deb4f08540e10d1419b5cbdfb38506ed53a5c0ccfb12f96c74f4a7a1), que carrega noedt.sys (SHA256: 6fc26e8ac9c44a8e461a18b20929f345f8cfc86e9a454eae3509084cf).
As mitigações do CryptoGuard sinalizaram a criptografia que se seguiu, com notas de resgate como README.txt. Esse uso entre famílias indicaentre os atores de ransomware, ampliando a ameaça das ferramentas de evasão de EDR em ataques coordenados.
Indicadores de Comprometimento (IOCs)
| Nome do arquivo | Tipo de hash | Valor de hash |
|---|---|---|
| uA8s.exe | SHA-1 | 2bc75023f6a4c50b21eb54d1394a7b8417608728 |
| mraml.sys | SHA-1 | 21a9ca6028992828c9c360d752cb033603a2fd93 |
| vp4n.exe | SHA256 | c793304fabb09bb631610f17097b2420ee0209bab87bb2e6811d24b252a1b05d |
| FoPefI.exe | SHA256 | e1ed281c521ad72484c7e5e74e50572b48ea945543c6bcbd480f698c2812cdfe |
| 6Vwq.exe | SHA256 | 43cd3f8675e25816619f77b047ea5205b6491137c5b77cce058533a07bdc9f98 |
| MilanoSoftware.exe | SHA256 | 3a6d5694eec724726efa3327a50fad3efdc623c08d647b51e51cd578bddda3da |
| CSd2.exe | SHA256 | ce1ba2a584c7940e499194972e1bd6f829ffbae2ecf2148cdb03ceeca906d151 |
| noedt.sys | SHA256 | 6fc26e8ac9c44a8e461a18b20929f345f8cfc86e9a454eae3509084cf6ece3be |
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça