Los investigadores de seguridad cibernética revelan detalles de una nueva campaña que aprovecha la pantalla de captura de pantalla de Connectwise, un software legítimo de monitoreo y gestión remota (RMM), que ofrece un cargador sin carne que deja caer el troyano de acceso remoto (rata), llamado asyncrat, para robar datos confidenciales de hosts reducidos.
«El atacante usó Screenconnect para obtener acceso remoto y ejecutó un cargador VBScript y PowerShell en capas que recupera y ejecuta componentes ofuscados de URL externos», dijo LevelBlue en un informe compartido con Hacker News. «Estos componentes son conjuntos de .NET codificados que eventualmente se desactivan a Asyncrat, al tiempo que mantienen la persistencia a través de tareas programadas falsas de ‘Skype Updater'».
La cadena de infección documentada por las compañías de seguridad cibernética ha demostrado que los actores de amenazas aprovechan la implementación de la pantalla conectada para iniciar sesiones remotas e iniciar la carga útil de los script de Visual Basic a través de la actividad del teclado.
«Hemos visto a un instalador de capas de pantalla troyano disfrazada de documentos financieros y de otros negocios enviados a través de correos electrónicos de phishing», dijo el analista de Lean Shirley a Hacker News.
El script está diseñado para usar los scripts de PowerShell para recuperar dos cargas útiles externas («logs.ldk» y «logs.dr») desde el servidor de control del atacante. El primero de los dos archivos es una DLL que se utiliza para establecer la persistencia utilizando tareas programadas escribiendo un script de Visual Basic secundario en el disco y evitando la detección como «actualizador de Skype» y estableciendo guardados usando discos.
Este script de Visual Basic contiene la misma lógica de PowerShell observada al comienzo del ataque. Las tareas programadas aseguran que la carga útil se ejecute automáticamente cada vez que inicie sesión.
Además de cargar «logs.ldk» como un ensamblaje de .NET, el script PowerShell se pasa como entrada al ensamblaje de carga, lo que lleva a la ejecución del binario («AsyncClient.exe»). Extensiones del navegador para Google Chrome, Brave, Microsoft Edge, Opera y Mozilla Firefox.
Toda esta información recopilada finalmente se extiende a un servidor de comando y control (C2) («3osch20.duckdns (.) Org») y usa la baliza para ejecutar la carga útil y recibir el comando posterior a la examen. La configuración de conexión C2 está codificada o se extraen de la URL de guijarros de ruta remota.
«El malware sin incendios continúa planteando desafíos importantes para las defensas modernas de ciberseguridad debido a su sigilo y dependencia de las herramientas legítimas del sistema para la ejecución», dijo LevelBlue. «A diferencia del malware tradicional que escribe cargas útiles en el disco, las amenazas indelebles funcionan en la memoria, lo que hace que sean difíciles de detectar, analizar y erradicar».
Source link
