Investigadores de seguridad han revelado los detalles de una nueva y sigilosa campaña de malware denominada DEAD#VAX, que emplea una combinación de "técnicas disciplinadas y abuso inteligente de funciones legítimas del sistema" para eludir los mecanismos de detección tradicionales e implementar un troyano de acceso remoto (RAT) conocido como AsyncRAT.
"El ataque aprovecha archivos VHD alojados en IPFS, ofuscación extrema de scripts, descifrado en tiempo de ejecución e inyección de shellcode en memoria en procesos confiables de Windows, sin descargar nunca un binario descifrado en el disco", afirmaron los investigadores de Securonix Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee en un informe compartido con The Hacker News.
AsyncRAT es un malware de código abierto que proporciona a los atacantes un control extenso sobre los endpoints comprometidos, permitiendo la vigilancia y recopilación de datos a través de keylogging, captura de pantalla y webcam, monitoreo del portapapeles, acceso al sistema de archivos, ejecución remota de comandos y persistencia a través de reinicios.
El punto de partida de la secuencia de infección es un correo de phishing que entrega un archivo de Disco Duro Virtual (VHD) alojado en la red descentralizada InterPlanetary File System (IPFS). Los archivos VHD están disfrazados como archivos PDF de órdenes de compra para engañar a los objetivos.
La campaña de múltiples etapas ha sido financiada para aprovechar archivos de script de Windows (WSF), scripts por lotes muy ofuscados y cargadores de PowerShell autoparseados para entregar un shellcode x64 cifrado. El shellcode en cuestión es AsyncRAT, que se inyecta directamente en procesos confiables de Windows y se ejecuta completamente en memoria, minimizando así cualquier artefacto forense en el disco.
"Después de la descarga, cuando un usuario simplemente intenta abrir este archivo con apariencia de PDF y hace doble clic, se monta como una unidad de disco duro virtual", explicaron los investigadores. "El uso de un archivo VHD es una técnica de evasión altamente específica y efectiva utilizada en campañas de malware modernas. Este comportamiento muestra cómo los archivos VHD eluden ciertos controles de seguridad".
Dentro de la unidad recién montada "E:\" se encuentra un script WSF que, cuando es ejecutado por la víctima, asumiendo que es un documento PDF, descarga y ejecuta un script por lotes ofuscado que primero realiza una serie de verificaciones para determinar si no se está ejecutando dentro de un entorno virtualizado o sandbox, y si tiene los privilegios necesarios para continuar.
Una vez que se cumplen todas las condiciones, el script despliega un inyector de procesos y módulo de persistencia basado en PowerShell que está diseñado para validar el entorno de ejecución, descifrar cargas útiles incrustadas, configurar la persistencia mediante tareas programadas e inyectar el malware final en procesos de Windows firmados por Microsoft (por ejemplo, RuntimeBroker.exe, OneDrive.exe, taskhostw.exe y sihost.exe) para evitar escribir artefactos en el disco.
El componente PowerShell sienta las bases para un "motor de ejecución sigiloso y resistente" que permite que el troyano se ejecute completamente en memoria y se mezcle con la actividad legítima del sistema, permitiendo así el acceso a largo plazo a los entornos comprometidos.
Para mejorar aún más el grado de sigilo, el malware controla el tiempo de ejecución y limita la ejecución mediante intervalos de suspensión para reducir el uso de la CPU, evitar actividad sospechosa de la API Win32 rápida y hacer que el comportamiento en tiempo de ejecución sea menos anómalo.
"Las campañas de malware modernas dependen cada vez más de formatos de archivo confiables, abuso de scripts y ejecución residente en memoria para eludir los controles de seguridad tradicionales", dijeron los investigadores. "En lugar de entregar un único binario malicioso, los atacantes ahora construyen tuberías de ejecución de múltiples etapas en las que cada componente individual parece benigno cuando se analiza de forma aislada. Este cambio ha hecho que la detección, el análisis y la respuesta a incidentes sean significativamente más desafiantes para los defensores".
"En esta cadena de infección específica, la decisión de entregar AsyncRAT como shellcode cifrado y residente en memoria aumenta significativamente su sigilo. La carga útil nunca aparece en el disco en una forma ejecutable reconocible y se ejecuta dentro del contexto de procesos confiables de Windows. Este modelo de ejecución sin archivos hace que la detección y la reconstrucción forense sean sustancialmente más difíciles, lo que permite que AsyncRAT opere con un riesgo reducido de ser descubierto por los controles de seguridad tradicionales de los endpoints".
