Pesquisadores documentaram um novo kit comercializado em fóruns subterrâneos que promete terminar processos de antivírus e EDR ao nível do kernel. A ferramenta, anunciada pelo ator de ameaça identificado como Crypt4You como "VOID KILLER", representa uma mudança tática: em vez de criptar ou ofuscar cargas úteis, ela busca neutralizar defesas no próprio núcleo do sistema.
O que se sabe
Relatórios públicos e uma análise inicial da KrakenLabs indicam que o pacote é oferecido como um "AV/EDR process killer" em nível de kernel, com variantes pagas que teriam capacidades específicas contra soluções corporativas como CrowdStrike e SentinelOne. O anúncio inclui demonstrações e um modelo comercial: builds customizados por ~US$300, pagos em criptomoedas.
Vetor técnico e capacidades
- Execução em nível de kernel: ferramentas que operam no kernel têm privilégios suficientes para manipular ou terminar processos do espaço do usuário, o que dificulta a detecção por mecanismos tradicionais.
- Bypass de UAC e escalonamento: o material de divulgação afirma mecanismos automáticos de bypass de UAC para elevar privilégios sem alertas visíveis.
- Polimorfismo de build: cada compilação gera hashes diferentes para evadir assinaturas estáticas.
- Payload‑agnostic: o produto aceitaria injeção de qualquer executável, tornando‑o um facilitador para múltiplas famílias de malware.
Evidências e limites
As conclusões disponíveis baseiam‑se em anúncios e em um vídeo de demonstração publicados pelo vendedor em mercados clandestinos, além de observações técnicas feitas por pesquisadores. Não houve, até a publicação deste texto, divulgação pública de amostras de kernel drivers assinados ou análise forense completa que comprovem funcionamento em escala ou exploração contra produtos específicos.
Impacto operacional
Se as capacidades anunciadas forem reais, o impacto é elevado: uma ferramenta que termina processos de EDR/AV no kernel pode permitir movimentos laterais, instalação de backdoors persistentes e execução de payloads sem telemetria visível. Organizações que confiam apenas em detecção em espaço do usuário e assinaturas estão em maior risco.
Controles e recomendações
- Priorizar defesa em profundidade: telemetria kernel‑level, integridade de kernel e monitoramento de drivers devem fazer parte do escopo de detecção.
- Reforçar processos de gestão de privilégios e revisão de configurações de UAC e controle de drivers instaláveis.
- Hardenings: uso de Secure Boot, kernel patch protection (quando aplicável) e assinaturas de driver verificadas.
- Revisar telemetria de endpoints por anomalias: criação/execução de drivers, injeção de processos e terminações inesperadas de serviços de proteção.
O que falta
Faltam amostras públicas e análises forenses independentes que validem a eficácia contra produtos corporativos específicos. Também não há confirmação de uso em campanhas reais (exploitation in the wild). Pesquisadores e equipes de resposta devem priorizar coleta de indicadores (IOCs) caso surjam binários ou drivers associados.
Observações finais
VOID KILLER, se efetivo, faz parte de uma tendência mais ampla: atores criminosos profissionalizando ferramentas de evasão que atacam camadas de proteção, não apenas cargas úteis. Equipes de segurança devem tratar anúncios desse tipo como sinal de alerta e adaptar controles para reduzir superfície de ataque no nível do kernel.