Antivírus

Pesquisadores de segurança da Trend Micro descobriram uma nova ferramenta maliciosa, chamada RealBlindingEDR, que está sendo utilizada por um grupo de ransomware conhecido como Crypto24. Essa ferramenta é capaz de desativar a proteção de antivírus em dispositivos, permitindo que os hackers implantem malware adicional sem serem detectados. O RealBlindingEDR possui uma lista codificada de nomes de empresas de antivírus, como Trend Micro, Kaspersky e McAfee, e ao ser executado, busca esses nomes na metadata dos drivers para desativar os mecanismos de detecção. Além de desativar a proteção, a ferramenta pode desinstalar completamente os programas antivírus. Após conseguir acesso inicial, o grupo Crypto24 geralmente implanta um keylogger e um software de criptografia, exfiltrando dados roubados para o Google Drive. Embora a identidade do grupo ainda seja desconhecida, eles já atacaram várias organizações de grande porte em setores como finanças e tecnologia. Para mitigar esses riscos, especialistas recomendam uma estratégia de defesa em camadas, incluindo antivírus com proteção contra manipulação e ferramentas anti-malware adicionais.