Ó TangleCrypt é um novo packer para Windows observado em ataques de ransomware, incluindo incidentes com o Qilin em setembro de 2025, onde foi usado junto com o driver ABYSSWORKER para desativar ferramentas de segurança antes da criptografia dos sistemas.
Ele armazena o comportamento malicioso dentro dos recursos PE com múltiplas camadas — base64, variações LZ78 e XOR — dificultando que soluções tradicionais identifiquem o payload real escondido no binário colocado.
EDR killer com driver falso
Em análise do WithSecure Labs, os pesquisadores encontraram dois novos níveis embalados com TangleCrypt e VMProtect, além de um driver de kernel que se estava testando por driver do CrowdStrike Falcon Sensor.
O payload desembrulhado foi identificado como STONESTOP, ferramenta “mata‑EDR” que usa o driver ABYSSWORKER para encerrar à força processos de produtos de segurança em execução, cegando a defesa antes da ação do ransomware.
Como o packer carrega o payload
O TangleCrypt usa ofuscação de strings e resolução dinâmica de importações para atrapalhar a análise, mas sem técnicas muito avançadas, o que permite que analistas experientes façam o unpack manual.
Ele suporta dois modos de execução, definidos por uma string de configuração: com “exex64_amd64_block_”, descriptografia e roda o payload na própria memória do processo; com “exex64_amd64__riin”, cria um processo filho suspenso, injeta o código descrito e só então retorna à execução.
Na prática, o loader primeiro descreve um pequeno recurso com uma chave numérica (por exemplo, “175438”), usa essa chave em XOR sobre o payload maior nos recursos PE e segue a cadeia: decodifica base64, descomprime com LZ78, decodifica base64 novamente e só então aplica XOR para revelar o original original.
Desligando a defesa antes do ransomware
Depois de desempacotado, o STONESTOP verifica se tem privilégios administrativos e, em caso positivo, registra o driver ABYSSWORKER.
Esse driver, em modo kernel, encerra processos que batem com uma lista pré-definida de soluções de segurança, deixando o ambiente sem proteção para, em seguida, iniciar a etapa de criptografia do ransomware.
