Segurança cibernética

Grupo chinês usa falha na ESET para implantar novo malware TCESB no Windows

Grupo ToddyCat explora falha no scanner da ESET para instalar o novo malware TCESB no Windows, usando técnicas furtivas e drivers vulneráveis da Dell para escapar da detecção.

09/04/2025 13:30

Um grupo de cibercriminosos associado à China está por trás de uma nova campanha maliciosa que explora uma vulnerabilidade em ferramentas da ESET para infiltrar um malware ainda não documentado, batizado de TCESB. A operação foi identificada pelo time da Kaspersky, que revelou detalhes sobre a ameaça em uma análise recente.

Segundo os pesquisadores, o TCESB tem como principal função executar cargas maliciosas de maneira furtiva, contornando as defesas tradicionais de segurança e evitando detecção por soluções de monitoramento instaladas nos sistemas comprometidos.

Origem e contexto da ameaça

A atividade está ligada ao grupo ToddyCat, conhecido por realizar ataques direcionados a organizações na Ásia desde pelo menos dezembro de 2020. No ano anterior, o mesmo grupo utilizou diversas ferramentas personalizadas para manter acesso prolongado a redes invadidas e extrair dados em larga escala, especialmente de instituições localizadas na região Ásia-Pacífico.

Durante uma investigação no início de 2024, a Kaspersky encontrou uma biblioteca DLL suspeita — a “version.dll” — em diretórios temporários de diferentes dispositivos. Essa biblioteca maliciosa de 64 bits, identificada como parte do TCESB, foi executada através de uma técnica conhecida como Sequestro de Ordem de Busca de DLL, permitindo o controle do fluxo de execução de processos.

Exploração da falha no scanner da ESET

A brecha utilizada está associada ao ESET Command Line Scanner, que, ao carregar a DLL “version.dll”, prioriza a leitura do arquivo no diretório local antes de recorrer aos diretórios legítimos do sistema, como “C:\Windows\system32”. Isso abre espaço para que uma versão maliciosa do arquivo seja carregada no lugar da original da Microsoft.

A vulnerabilidade explorada foi registrada como CVE-2024-11859, com uma pontuação CVSS de 6,8, e foi corrigida pela ESET no final de janeiro de 2025. Apesar disso, o ataque só é possível caso o invasor já possua privilégios de administrador, o que limita parcialmente sua gravidade.

Técnicas avançadas do TCESB

A análise revela que o TCESB é uma variação modificada de uma ferramenta de código aberto chamada EDRSandBlast, projetada para manipular estruturas do kernel do sistema e desativar rotinas de notificação, conhecidas como callbacks. Isso torna o malware ainda mais difícil de detectar e bloquear.

Para isso, os atacantes recorrem a uma tática chamada Bring Your Own Vulnerable Driver (BYOVD), utilizando um driver legítimo porém vulnerável da Dell, o DBUtilDrv2.sys, afetado pela falha CVE-2021-36276. O driver é instalado por meio do Gerenciador de Dispositivos do Windows.

Essa prática de explorar drivers inseguros da Dell não é nova. Em 2022, o grupo norte-coreano Lazarus também se aproveitou de uma falha semelhante (CVE-2021-21551) em outro driver da empresa.

Funcionamento da carga maliciosa

Uma vez no sistema, o TCESB inicia um loop que verifica a cada dois segundos a existência de um arquivo de payload com nome específico no diretório local. Se o arquivo estiver presente, o malware o descriptografa com AES-128 e o executa imediatamente.

Embora os payloads não tenham sido coletados, sabe-se que são fortemente criptografados e permanecem ocultos até o momento da ativação.

Medidas recomendadas

A Kaspersky alerta para a importância de monitorar atividades suspeitas relacionadas à instalação de drivers com vulnerabilidades conhecidas. Também é fundamental observar eventos ligados ao carregamento de símbolos de depuração do kernel, sobretudo em sistemas onde tal comportamento não é esperado.

Essas práticas podem ajudar a identificar tentativas de ataque antes que danos mais graves sejam causados.

Jardeson Márcio

Mais Notícias

Mais artigos

nova-variante-de-botnet-mirai-mira-em-vulnerabilidades-em-servidores-baseados-em-linux-e-dispositivos-iot

Segurança digital

Ataques Mirai visam DVR TVT e ampliam rede de bots

Nova botnet baseada no Mirai está explorando uma vulnerabilidade nos DVRs TVT NVMS9000, visando transformar os dispositivos em nós para ataques DDoS, proxies maliciosos e mineração. Alvo principal inclui EUA e Europa.

Código inseguro

Extensões maliciosas no VSCode disfarçam mineração de criptomoedas

Pesquisadores identificam nove extensões no VSCode Marketplace que, ao invés de ajudarem desenvolvedores, instalam um minerador de criptomoedas escondido no sistema.

Segurança digital

Pacote malicioso no PyPI explora WooCommerce para validar cartões roubados

Um pacote malicioso chamado 'disgrasya' foi baixado mais de 34 mil vezes no PyPI para validar cartões roubados via lojas WooCommerce. A ameaça mostra a crescente sofisticação dos ataques de carding automatizados.

Ameaça digital

Microsoft alerta sobre golpes fiscais via e-mail usando PDFs e códigos QR para espalhar malware

Microsoft identifica campanhas de phishing explorando temas tributários para distribuir malware via e-mails falsos. Códigos QR e PDFs maliciosos redirecionam vítimas para roubo de credenciais e instalação de trojans.

hackers-lazarus-espalham-malware-atraves-de-servidores-microsoft-iis-sequestrados

Ataque hacker

Grupo Lazarus usa ClickFix para espalhar GolangGhost e atingir candidatos a emprego

O Grupo Lazarus explora a tática ClickFix para enganar candidatos a emprego no setor cripto e instalar o malware GolangGhost. A campanha usa entrevistas falsas e engenharia social para infectar sistemas Windows e macOS.

Vulnerabilidades críticas em switches Moxa permitem acesso não autorizado

Ataque cibernético

Descoberto Malware RESURGE: Falha Ivanti explorada com Rootkit e Shell da web

Novo malware RESURGE ataca falha Ivanti, com rootkit e shell da web, exigindo atualização imediata e medidas de segurança extras.