Novo malware TCESB é usado em ataques ativos explorando scanner da ESET

Um hacker afiliado à China, conhecido por ataques cibernéticos direcionados à Ásia, foi flagrado explorando uma vulnerabilidade no software de segurança da ESET para distribuir um novo malware, ainda não documentado, batizado de TCESB.

“Até então inédito nas campanhas do grupo ToddyCat, o TCESB foi desenvolvido para executar cargas úteis de forma furtiva, contornando as ferramentas de segurança e monitoramento presentes nos dispositivos”, informou a Kaspersky em uma análise publicada esta semana.

O ToddyCat é o nome atribuído a um grupo hacker ativo desde, pelo menos, dezembro de 2020, que tem como alvos principais organizações da região Ásia-Pacífico. Em 2023, a Kaspersky já havia detalhado o uso de múltiplas ferramentas pelo grupo, destacando sua capacidade de manter acesso contínuo a sistemas comprometidos e de exfiltrar dados em larga escala.

Em investigações recentes realizadas no início de 2024, a Kaspersky identificou um arquivo DLL suspeito chamado “version.dll” no diretório temporário de diversos dispositivos. A DLL de 64 bits, correspondente ao malware TCESB, era executada através de uma técnica chamada sequestro de ordem de busca de DLL, permitindo o controle do fluxo de execução da aplicação.

A exploração ocorreu por meio de uma falha no ESET Command Line Scanner, que carrega a biblioteca “version.dll” de forma insegura — verificando primeiro o diretório local antes dos diretórios do sistema. Embora essa DLL seja uma biblioteca legítima da Microsoft, residente em “C:\Windows\system32\” ou “C:\Windows\SysWOW64\”, os hackers conseguiram injetar uma versão maliciosa da biblioteca, executando seu próprio código.

Registrada como CVE-2024-11859 (CVSS: 6.8), a vulnerabilidade foi corrigida pela ESET no final de janeiro de 2025. Em comunicado, a empresa destacou que o exploit não elevava privilégios, ou seja, o ataque exigia que o hacker já tivesse acesso administrativo ao sistema.

O TCESB é uma versão modificada da ferramenta de código aberto EDRSandBlast, que possui funcionalidades para desabilitar rotinas de notificação do kernel — mecanismos que alertam os drivers sobre eventos como criação de processos ou alterações no registro do sistema.

Para executar essas ações, o TCESB utiliza a técnica conhecida como BYOVD (Bring Your Own Vulnerable Driver), que consiste na instalação de drivers vulneráveis em sistemas comprometidos. Nesse caso, foi utilizado o driver DBUtilDrv2.sys, da Dell, vulnerável à falha CVE-2021-36276.

Essa prática não é nova: em 2022, outro driver da Dell (dbutil_2_3.sys) com a falha CVE-2021-21551 também foi usado por grupos como o Lazarus Group, ligado à Coreia do Norte, para desativar mecanismos de proteção por meio de ataques BYOVD.

Após a instalação do driver vulnerável, o TCESB entra em um loop que verifica a cada dois segundos se há um arquivo de payload com nome específico no diretório atual. O payload, criptografado com AES-128, é decodificado e executado assim que detectado no local previsto.

A Kaspersky recomenda monitorar sistemas para identificar instalações de drivers vulneráveis e também prestar atenção a eventos que envolvam o carregamento de símbolos de depuração do kernel — especialmente em dispositivos onde tal depuração não é esperada.