Los cazadores de amenazas han revelado detalles de una nueva y sigilosa campaña de malware denominada MUERTO#VAX que emplea una combinación de «arte disciplinada y abuso inteligente de características legítimas del sistema» para eludir los mecanismos de detección tradicionales e implementar un troyano de acceso remoto (RAT) conocido como AsyncRAT.
«El ataque aprovecha archivos VHD alojados en IPFS, ofuscación extrema de scripts, descifrado en tiempo de ejecución e inyección de shellcode en memoria en procesos confiables de Windows, sin dejar nunca un binario descifrado en el disco», dijeron los investigadores de Securonix Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee en un informe compartido con The Hacker News.
AsyncRAT es un malware de código abierto que proporciona a los atacantes un amplio control sobre los puntos finales comprometidos, lo que permite la vigilancia y la recopilación de datos mediante registro de teclas, captura de pantalla y cámara web, monitoreo del portapapeles, acceso al sistema de archivos, ejecución remota de comandos y persistencia durante los reinicios.
El punto de partida de la secuencia de infección es un correo electrónico de phishing que entrega un disco duro virtual (VHD) alojado en la red descentralizada InterPlanetary Filesystem (IPFS). Los archivos VHD están disfrazados de archivos PDF para órdenes de compra para engañar a los objetivos.
La campaña de varias etapas ha sido financiada para aprovechar los archivos de secuencias de comandos de Windows (WSF), secuencias de comandos por lotes muy ofuscadas y cargadores de PowerShell de análisis automático para entregar un código shell x64 cifrado. El código shell en cuestión es AsyncRAT, que se inyecta directamente en procesos confiables de Windows y se ejecuta completamente en la memoria, minimizando efectivamente cualquier artefacto forense en el disco.
«Después de la descarga, cuando un usuario simplemente intenta abrir este archivo PDF y hace doble clic en él, se monta como un disco duro virtual», explicaron los investigadores. «El uso de un archivo VHD es una técnica de evasión muy específica y efectiva utilizada en las campañas de malware modernas. Este comportamiento muestra cómo los archivos VHD eluden ciertos controles de seguridad».
Dentro de la unidad recién montada «E:» se presenta un script WSF que, cuando lo ejecuta la víctima, asumiendo que es un documento PDF, suelta y ejecuta un script por lotes oculto que primero ejecuta una serie de comprobaciones para determinar si no se está ejecutando dentro de un entorno virtualizado o de espacio aislado y si tiene los privilegios necesarios para continuar.
Una vez que se cumplen todas las condiciones, el script libera un inyector de procesos y un módulo de persistencia basado en PowerShell que está diseñado para validar el entorno de ejecución, descifrar cargas útiles integradas, configurar la persistencia mediante tareas programadas e inyectar el malware final en procesos de Windows firmados por Microsoft (por ejemplo, RuntimeBroker.exe, OneDrive.exe, taskhostw.exe y sihost.exe) para evitar escribir los artefactos en el disco.
El componente PowerShell sienta las bases para un «motor de ejecución sigiloso y resistente» que permite que el troyano se ejecute completamente en la memoria y se mezcle con la actividad legítima del sistema, permitiendo así el acceso a largo plazo a entornos comprometidos.
Para mejorar aún más el grado de sigilo, el malware controla el tiempo de ejecución y acelera la ejecución mediante intervalos de suspensión para reducir el uso de la CPU, evitar una actividad sospechosa y rápida de la API Win32 y hacer que el comportamiento en tiempo de ejecución sea menos anómalo.
«Las campañas de malware modernas se basan cada vez más en formatos de archivos confiables, abuso de scripts y ejecución residente en memoria para eludir los controles de seguridad tradicionales», dijeron los investigadores. «En lugar de entregar un único binario malicioso, los atacantes ahora construyen canales de ejecución de múltiples etapas en los que cada componente individual parece benigno cuando se analiza de forma aislada. Este cambio ha hecho que la detección, el análisis y la respuesta a incidentes sean significativamente más desafiantes para los defensores».
«En esta cadena de infección específica, la decisión de entregar AsyncRAT como shellcode cifrado y residente en memoria aumenta significativamente su sigilo. La carga útil nunca aparece en el disco en una forma ejecutable reconocible y se ejecuta dentro del contexto de procesos confiables de Windows. Este modelo de ejecución sin archivos hace que la detección y la reconstrucción forense sean sustancialmente más difíciles, lo que permite que AsyncRAT opere con un riesgo reducido de descubrimiento por parte de los controles de seguridad tradicionales de los terminales».