Los investigadores de ciberseguridad han revelado los detalles de una nueva campaña que aprovecha ConnectWise ScreenConnect, un software legítimo de monitoreo y administración remotos (RMM), para ofrecer un cargador integrado que elimina un troyano de acceso remoto (RAT) llamado asíncrata para robar datos confidenciales de servidores comprometidos.
«El atacante usó ScreenConnect para obtener acceso remoto y, a continuación, ejecutó un cargador de VBScript y PowerShell en capas que buscaba y ejecutaba componentes ofuscados de URL externas», dijo LevelBlue dijo en un informe compartido con The Hacker News. «Estos componentes incluían ensamblajes de.NET codificados que, en última instancia, se desempaquetaban en Asyncrat y mantenían la persistencia mediante una falsa tarea programada de 'Skype Updater'».
En la cadena de infección documentada por la empresa de ciberseguridad, se ha descubierto que los actores de amenazas aprovechan la implementación de ScreenConnect para iniciar una sesión remota y lanzar una carga útil de Visual Basic Script mediante una actividad práctica con el teclado.
«Vimos instaladores troyanos de ScreenConnect que se hacían pasar por documentos financieros y otros documentos comerciales a través de correos electrónicos de suplantación de identidad», dijo Sean Shirley, analista de SOC de LevelBlue MDR, a The Hacker News.
El script, por su parte, está diseñado para recuperar dos cargas útiles externas («logs.ldk» y «logs.ldr») de un servidor controlado por un atacante mediante un script de PowerShell. El primero de los dos archivos, «logs.ldk», es una DLL que se encarga de escribir un script de Visual Basic secundario en el disco y usarlo para establecer la persistencia mediante una tarea programada haciéndola pasar por «Skype Updater» para evitar ser detectado.
Este script de Visual Basic contiene la misma lógica de PowerShell observada al inicio del ataque. La tarea programada garantiza que la carga se ejecute automáticamente después de cada inicio de sesión.
El script de PowerShell, además de cargar «logs.ldk» como ensamblado de.NET, pasa «logs.ldr» como entrada al ensamblaje cargado, lo que lleva a la ejecución de un binario (» AsyncClient.exe «), que es la carga útil de Asyncrat con la capacidad de registrar las pulsaciones de teclas, robar credenciales del navegador, tomar huellas dactilares del sistema y buscar aplicaciones de escritorio y extensiones de navegador de carteras de criptomonedas instaladas en Google Chrome, Brave, Microsoft Edge, Opera y Mozilla Firefox.
Toda esta información recopilada finalmente se filtra a un servidor de comando y control (C2) («3osch20.duckdns [.] org») a través de un socket TCP, al que el malware dirige una baliza para ejecutar cargas útiles y recibir comandos posteriores a la explotación. La configuración de conexión del C2 está codificada de forma rígida o se extrae de una URL remota de Pastebin.
«El malware sin archivos sigue planteando un desafío importante para las defensas modernas de ciberseguridad debido a su naturaleza sigilosa y a su dependencia de herramientas legítimas del sistema para su ejecución», afirma LevelBlue. «A diferencia del malware tradicional, que graba cargas útiles en el disco, las amenazas sin archivos funcionan en la memoria, lo que dificulta su detección, análisis y erradicación».