Campanha que usa driver TrueSight desativa EDR antes de ransomware
Pesquisadores reportam uma campanha em larga escala que transforma um driver legítimo do Windows em mecanismo para encerrar proteções de endpoint antes da entrega de ransomware ou trojans de acesso remoto.
Vetor e técnica
De acordo com o relatório publicado pelo veículo Cyber Security News, a operação abusa do driver truesight.sys, associado ao antivírus RogueKiller da Adlice Software. Os atacantes têm usado mais de 2.500 variantes assinadas do driver para carregar o componente no kernel do Windows e executar comandos maliciosos com privilégios de kernel.
Como funciona a derrubada de defesas
O núcleo da técnica é um IOCTL exposto na versão vulnerável (citada como TrueSight 2.0.2) que aceita entrada controlada pelo atacante e permite a finalização forçada de processos, inclusive agentes EDR e motores antivírus protegidos. Uma vez o driver carregado, o módulo malicioso opera no mesmo nível de privilégio do kernel, contornando proteções em modo usuário e agentes de tamping.
Cadeia de infecção observada
O ataque segue um fluxo em estágios: acesso inicial via phishing, sites falsos ou canais do Telegram; downloader que busca componentes adicionais; persistência (tarefas agendadas, DLL sideloading); e implantação de um módulo “EDR killer” fortemente ofuscado. O módulo mira quase 200 produtos de segurança, incluindo nomes como CrowdStrike, SentinelOne, Kaspersky e Symantec, segundo os pesquisadores de MagicSword citados na matéria.
Impacto e riscos operacionais
Com agentes de proteção terminados no nível do kernel, a telemetria deixa de ser enviada, alertas não disparam e cargas finais — frequentemente HiddenGh0st ou famílias de ransomware — executam com visibilidade mínima. Os pesquisadores destacam que, em alguns casos, da primeira interação maliciosa ao controle total do sistema o ciclo pode fechar em cerca de 30 minutos, reduzindo drasticamente a janela de resposta.
Evidências e limitações do que se sabe
As informações disponíveis na fonte mostram a adoção dessa técnica por atores financeiros e APTs em várias regiões; também documentam variantes do driver surgindo semanalmente. O material não fornece uma lista completa de versões dos produtos afetados além da menção ao TrueSight 2.0.2, nem detalha métricas agregadas de vítimas por país — dados que faltam e que impedem quantificar o alcance real no Brasil.
Recomendações práticas
- Monitorar a presença de drivers truesight.sys e variações assinadas desconhecidas em endpoints;
- Aplicar controles de integridade no kernel e bloquear carregamento de drivers não aprovados via políticas de assinatura e WHQL;
- Reforçar telemetria fora do endpoint (network-based detection) para reduzir a dependência exclusiva de EDR local;
- Preparar playbook de resposta a ransomware considerando a possibilidade de desligamento de agentes.
Fonte: Cyber Security News.