Um empacotador de malware para Windows recém-descoberto chamado TangleCrypt emergiu como uma séria ameaça em ataques de ransomware, projetado especificamente para evitar soluções de detecção e resposta de endpoint (EDR).
O empacotador foi observado pela primeira vez durante um incidente de ransomware em setembro de 2025 envolvendo o ransomware Qilin, onde os agentes da ameaça o implantaram junto com o driver ABYSSWORKER para desativar as ferramentas de segurança antes de criptografar os sistemas das vítimas.
TangleCrypt funciona ocultando cargas maliciosas por meio de múltiplas camadas de codificação, compactação e criptografia. O executável original é armazenado em recursos PE usando codificação base64, compactação LZ78 e criptografia XOR.
Essa abordagem multicamadas torna difícil para as ferramentas de segurança tradicionais detectar o malware real oculto dentro do executável compactado.
Os pesquisadores de segurança do WithSecure Labs identificaram o malware durante uma investigação de resposta a incidentes, recuperando artefatos incluindo dois executáveis embalados com TangleCrypt e VMProtect, junto com um driver de kernel disfarçado de driver CrowdStrike Falcon Sensor.
A carga incorporada nesses executáveis foi identificada como STONESTOP, uma ferramenta EDR-killer que usa o driver ABYSSWORKER para encerrar à força processos de segurança em execução no sistema.
O empacotador emprega criptografia de string e resolução de importação dinâmica para impedir análises estáticas e dinâmicas.
Embora os autores de malware normalmente usem essas técnicas, a implementação do TangleCrypt carece de mecanismos avançados de anti-análise, tornando a descompactação manual relativamente simples para analistas experientes.
Mecanismo de execução de carga útil
TangleCrypt oferece suporte a dois métodos distintos para iniciar sua carga útil, determinados por uma string de configuração anexada ao executável incorporado.
O primeiro método, identificado pela string “exex64_amd64_block_”, descriptografa e executa o payload dentro da mesma memória do processo.
O segundo método, marcado com “exex64_amd64__riin”, cria um processo filho suspenso e grava nele a carga descriptografada antes de retomar a execução.
Log do ProcessMonitor de ‘b1.exe’ iniciando o próprio processo filho (Fonte – Withsecure Labs)
Quando executado, o carregador primeiro descriptografa uma pequena entrada de recurso contendo uma chave numérica, como “175438”. Essa chave é então usada para descriptografar XOR a carga útil maior armazenada nos recursos PE.
O processo de descriptografia segue uma sequência específica onde uma string codificada em base64 é decodificada, depois descompactada em LZ78, decodificada novamente em base64 e, finalmente, descriptografada em XOR para revelar o executável original.
Após a descompactação bem-sucedida, a carga útil do STONESTOP verifica os privilégios administrativos e registra o driver ABYSSWORKER se direitos elevados estiverem presentes.
O driver então encerra processos que correspondem a uma lista predefinida de nomes de produtos de segurança, cegando efetivamente as defesas do sistema antes do início da implantação do ransomware.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
