Los cazadores de amenazas han revelado detalles de una nueva y sigilosa campaña de malware denominada MUERTO #VAX que emplea una combinación de «artesanía disciplinada y abuso inteligente de las funciones legítimas del sistema» para eludir los mecanismos de detección tradicionales e implementar un troyano de acceso remoto (RAT) conocido como asíncrata .

«El ataque aprovecha los archivos VHD alojados en IPFS, la ofuscación extrema de los scripts, el descifrado en tiempo de ejecución y la inyección de código shell en memoria en procesos Windows confiables, sin dejar caer nunca un binario descifrado en el disco», dijeron los investigadores de Securonix Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee dijo en un informe compartido con The Hacker News.

AsyncRat es un malware de código abierto que proporciona a los atacantes un amplio control sobre los puntos finales comprometidos, lo que permite la vigilancia y la recopilación de datos mediante el registro de teclas, la captura de pantallas y cámaras web, la supervisión del portapapeles, el acceso al sistema de archivos, la ejecución remota de comandos y la persistencia en los reinicios.

adsense

El punto de partida de la secuencia de infección es un correo electrónico de suplantación de identidad que envía un disco duro virtual (VHD) alojado en el sistema de archivos interplanetario descentralizado ( IPFS ) red. Los archivos VHD se disfrazan de archivos PDF para que las órdenes de compra engañen a los destinatarios.

La campaña de varias etapas se financió para aprovechar los archivos de script de Windows (WSF), los scripts por lotes muy confusos y los cargadores de PowerShell que se autoanalizan para ofrecer un código de shell x64 cifrado. El shellcode en cuestión es Asyncrat, que se inyecta directamente en los procesos confiables de Windows y se ejecuta completamente en la memoria, con lo que se minimiza de manera efectiva cualquier problema forense que pueda haber en el disco.

«Tras la descarga, cuando un usuario simplemente intenta abrir este archivo con aspecto de PDF y hace doble clic en él, se monta como un disco duro virtual», explicaron los investigadores. «El uso de un archivo VHD es una técnica de evasión muy específica y eficaz que se utiliza en las campañas de malware modernas. Este comportamiento muestra cómo los archivos VHD eluden ciertos controles de seguridad».

En la unidad recién montada «E:\» se presenta un script WSF que, cuando la víctima lo ejecuta, asumiendo que se trata de un documento PDF, elimina y ejecuta un script por lotes oculto que primero ejecuta una serie de comprobaciones para comprobar si no se ejecuta en un entorno virtualizado o aislado, y tiene los privilegios necesarios para continuar.

Una vez que se cumplen todas las condiciones, el script lanza un inyector de procesos y un módulo de persistencia basados en PowerShell diseñados para validar el entorno de ejecución, descifrar las cargas útiles integradas, configurar la persistencia mediante tareas programadas e inyectar el malware final en los procesos de Windows firmados por Microsoft (por ejemplo, RuntimeBroker.exe, OneDrive.exe, taskhostw.exe y sihost.exe) para evitar escribir los artefactos en el disco.

El componente PowerShell sienta las bases para un «motor de ejecución sigiloso y resistente» que permite que el troyano se ejecute completamente en la memoria y se incorpore a la actividad legítima del sistema, lo que permite el acceso a largo plazo a los entornos comprometidos.

enlaces

Para mejorar aún más el grado de sigilo, el malware controla el tiempo de ejecución y lo limita mediante intervalos de reposo para reducir el uso de la CPU, evitar la actividad rápida y sospechosa de la API de Win32 y hacer que el comportamiento en tiempo de ejecución sea menos anómalo.

«Las campañas modernas de malware se basan cada vez más en formatos de archivo confiables, el abuso de scripts y la ejecución residente en la memoria para eludir los controles de seguridad tradicionales», afirman los investigadores. «En lugar de ofrecer un único binario malicioso, los atacantes ahora construyen procesos de ejecución en varias etapas en los que cada componente individual parece benigno cuando se analiza de forma aislada. Este cambio ha hecho que la detección, el análisis y la respuesta a los incidentes sean mucho más difíciles para los defensores».

«En esta cadena de infección específica, la decisión de entregar Asyncrat como código shell cifrado y residente en la memoria aumenta significativamente su sigilo. La carga útil nunca aparece en el disco en un formato ejecutable reconocible y se ejecuta en el contexto de procesos confiables de Windows. Este modelo de ejecución sin archivos dificulta considerablemente la detección y la reconstrucción forense, lo que permite a Asyncrat operar con un riesgo reducido de detección mediante los controles de seguridad de terminales tradicionales».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.