Pesquisadores do Elastic Security Labs identificaram uma campanha de ransomware Medusa, motivada por ganhos financeiros, que emprega um carregador compactado chamado HeartCrypt e um driver com certificado revogado, conhecido como AbyssWorker, para incapacitar ferramentas de Detecção e Resposta de Endpoint (EDR).
Medusa ransomware emprega driver malicioso AbyssWorker
Os invasores utilizaram um driver Windows PE de 64 bits, denominado smuol.sys, que se disfarça como um driver CrowdStrike Falcon. Este driver é protegido por VMProtect e assinado com um certificado chinês que foi revogado. A Elastic Security Labs encontrou dezenas de amostras desse driver entre agosto de 2024 e fevereiro de 2025, sugerindo que eles foram assinados com certificados roubados.
De acordo com o relatório divulgado pela Elastic, “Todas as amostras são assinadas usando certificados provavelmente roubados e revogados de empresas chinesas. Esses certificados são amplamente conhecidos e compartilhados entre diferentes amostras e campanhas de malware, mas não são específicos para este driver.”
O AbyssWorker utiliza funções com valores de retorno constantes, empregando predicados opacos e funções de derivação para dificultar a análise estática. Especialistas observaram que, embora existam três dessas funções, elas não são usadas em predicados, tornando a ofuscação ineficaz e facilmente identificável.
Após a inicialização, o driver carrega ponteiros de módulo do kernel e configura um mecanismo de proteção do cliente. Em seguida, ele cria um dispositivo e um link simbólico antes de registrar retornos de chamada para suas funções principais.
Quando o dispositivo do driver é aberto, ele adiciona o ID do processo a uma lista de proteção e remove os identificadores existentes para o processo alvo. Ele obtém o ID do processo do cliente a partir do thread do kernel e retira os direitos de acesso de outros processos por meio de iteração de PID de força bruta. O driver então registra retornos de chamada para impedir a criação de identificadores não autorizados, garantindo que os processos protegidos permaneçam inacessíveis.
O driver AbyssWorker processa solicitações de controle de E/S do dispositivo, encaminhando-as para manipuladores com base no código de controle. Esses manipuladores permitem a manipulação de arquivos, o encerramento de processos e a remoção de drivers, permitindo que o malware desative sistemas EDR de forma eficaz.
“Para copiar ou excluir arquivos, o AbyssWorker utiliza uma estratégia que, embora não seja nova, ainda é notável. Em vez de usar uma API comum como NtCreateFile, um Pacote de Solicitação de E/S (IRP) é criado do zero e enviado diretamente para o dispositivo de unidade correspondente que contém o arquivo de destino”, detalha o relatório.
A Elastic desenvolveu um exemplo de implementação de cliente que permite carregar as APIs do driver e também criou as regras YARA para detectar essa ameaça.