ValleyRAT: builder vazado e rootkit em kernel alarmam defensores
Pesquisadores indicam que o leak do builder do ValleyRAT impulsionou uma onda de amostras e que o malware inclui um driver em modo kernel capaz de ser carregado em Windows 11 com assinatura válida — técnica preocupante que permite evasão de proteções modernas.
Descoberta e escopo / O que mudou agora
Relatório citado pela matéria (Check Point, reproduzido no feed) aponta que o builder do ValleyRAT foi publicado, ampliando o acesso à plataforma por atores diversos. Cerca de 85% das amostras observadas foram detectadas nos últimos seis meses, em correlação com a liberação pública do builder.
Vetor e exploração / Mitigações
ValleyRAT é modular. A infecção inicial costuma utilizar plugins de primeira fase que atuam como beacons para comandos e controle. O componente mais grave é o Driver Plugin, que implementa um rootkit em modo kernel com capacidades de instalação stealthy de drivers e injeção de shellcode em modo usuário via chamadas assíncronas (APCs).
A matéria descreve ainda que o malware remove drivers de soluções de segurança de fornecedores como Qihoo 360, Huorong Security, Tencent e Kingsoft Corporation, abrindo o ambiente para atuação sem controles. Não há, no feed, indicações sobre uma mitigação canônica; o texto destaca a necessidade de detecção robusta e atualizações constantes das defesas.
Impacto e alcance / Setores afetados
O comportamento descrito — rootkit kernel‑mode com assinatura válida e remoção de drivers de EDR/AV — pode permitir persistência profunda e ações furtivas em endpoints Windows 11 atualizados. A matéria afirma que o leak do builder facilita que diferentes grupos reutilizem e modifiquem o código, ampliando o risco de disseminação.
Limites das informações / O que falta saber
Embora a matéria traga detalhes técnicos sobre o mecanismo do rootkit e a disponibilidade do builder, não há na versão do feed indicadores de comprometimento (IOCs) detalhados, amostras hashes nem ocorrências confirmadas em países ou setores específicos. A atribuição é limitada; os autores do malware aparentavam, antes do leak, estar vinculados a um grupo com conhecimento avançado, mas a disponibilidade pública complica rastreabilidade e atribuições.
Repercussão / Próximos passos
Para resposta a incidentes e defesa:
- Assumir que a disponibilidade do builder amplia o risco de variantes e preparar detecções específicas para instalação stealth de drivers e técnicas de injeção por APC.
- Endereçar controles de integridade de drivers, monitorar eventos de instalação de drivers e alertar para remoção de componentes EDR/AV.
- Buscar relatórios técnicos completos (por exemplo, o analysis publicado pelo Check Point mencionado na matéria) para obter IOCs e regras de detecção.
Fonte: análise divulgada via Cyber Security News com referência ao trabalho da Check Point. Por ausência de hashes ou IOCs no feed, equipes devem consultar a publicação técnica original para ações operacionais.