Los cazadores de amenazas han revelado detalles de una nueva campaña de malware sigilosa llamada DEAD#VAX. La campaña combina «técnicas disciplinadas y explotación sofisticada de la funcionalidad legítima del sistema» para eludir los mecanismos de detección tradicionales e implementar un troyano de acceso remoto (RAT) conocido como AsyncRAT.
«Este ataque aprovecha archivos VHD alojados en IPFS, ofuscación extrema de scripts, descifrado en tiempo de ejecución e inyección de código shell en memoria en un proceso confiable de Windows, sin dejar nunca el binario descifrado en el disco», dijeron los investigadores de Securonix Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee en un informe compartido con The Hacker News.
AsyncRAT es un malware de código abierto que proporciona a los atacantes un amplio control sobre los puntos finales comprometidos, lo que permite el monitoreo y la recopilación de datos mediante registro de teclas, captura de pantalla y cámara web, monitoreo del portapapeles, acceso al sistema de archivos, ejecución remota de comandos y persistencia durante los reinicios.
La secuencia de infección comienza con un correo electrónico de phishing que entrega un disco duro virtual (VHD) alojado en una red distribuida InterPlanetary Filesystem (IPFS). El archivo VHD está disfrazado de un archivo PDF de orden de compra para engañar al objetivo.
Esta campaña de varias etapas está financiada para aprovechar los archivos de secuencias de comandos de Windows (WSF), secuencias de comandos por lotes altamente ofuscadas y cargadores de PowerShell autoanálisis para entregar código shell x64 cifrado. El código shell en cuestión es AsyncRAT, que se inyecta directamente en un proceso confiable de Windows y se ejecuta completamente en la memoria, minimizando efectivamente los artefactos forenses en el disco.
«Una vez descargado, cuando un usuario hace doble clic para abrir este archivo con apariencia de PDF, se monta como un disco duro virtual», explicaron los investigadores. «El uso de archivos VHD es una técnica de evasión muy específica y efectiva utilizada en las campañas de malware modernas. Este comportamiento ilustra cómo los archivos VHD pueden eludir ciertos controles de seguridad».
Un script WSF que reside en la unidad recién montada «E:\», cuando lo ejecuta la víctima, suelta y ejecuta un script por lotes oculto, asumiendo que es un documento PDF. Este script primero realiza una serie de comprobaciones para garantizar que no se esté ejecutando en un entorno virtual o sandbox y que tenga los permisos necesarios para continuar.
Una vez que se cumplen todas las condiciones, el script libera el módulo de persistencia y el inyector de procesos basado en PowerShell. Este módulo está diseñado para validar el entorno de ejecución, descifrar cargas útiles integradas, establecer la persistencia mediante tareas programadas y, en última instancia, inyectar malware en procesos de Windows firmados por Microsoft (como RuntimeBroker.exe, OneDrive.exe, taskhostw.exe y sihost.exe) para evitar escribir artefactos en el disco.
El componente PowerShell sienta las bases para un «motor de ejecución sigiloso y resistente» que permite que el troyano se ejecute completamente en la memoria y se mezcle con la actividad legítima del sistema, permitiendo así el acceso a largo plazo al entorno comprometido.
Para aumentar aún más su grado de sigilo, el malware controla el tiempo de ejecución y utiliza intervalos de suspensión para acelerar la ejecución y reducir el uso de la CPU, evitar una actividad sospechosa y rápida de la API Win32 y reducir las anomalías del comportamiento en tiempo de ejecución.
«Los ataques de malware modernos se basan cada vez más en formatos de archivos confiables, explotación de scripts y ejecución residente en memoria para evadir los controles de seguridad tradicionales», dijeron los investigadores. «En lugar de distribuir un único binario malicioso, los atacantes ahora están construyendo canales de ejecución de múltiples etapas que parecen benignos cuando se analizan individualmente. Este cambio hace que la detección, el análisis y la respuesta a incidentes sean significativamente más difíciles para los defensores».
«En esta cadena de infección en particular, la decisión de AsyncRAT de entregarlo como un shellcode cifrado residente en memoria aumenta en gran medida sus características sigilosas. La carga útil nunca aparece en el disco en un formato ejecutable reconocible, sino que se ejecuta dentro del contexto de un proceso confiable de Windows. Este modelo de ejecución sin archivos aumenta significativamente la dificultad de detección y reconstrucción forense, permitiendo a AsyncRAT operar con menos riesgo de detección a través de controles de seguridad de endpoint tradicionales».
Source link
