Caçadores de ameaças revelaram detalhes de uma nova campanha de malware furtiva chamada DEAD#VAX, que combina técnicas avançadas de tradecraft com o uso inteligente de funcionalidades legítimas do sistema para evitar detecções tradicionais e implantar um trojan de acesso remoto (RAT) conhecido como AsyncRAT.
Pesquisadores da Securonix — Akshay Gaikwad, Shikha Sangwan e Aaron Beardslee — explicaram em um relatório que o ataque utiliza arquivos VHD hospedados no IPFS, obfuscação extrema de scripts, descriptografia em tempo de execução e injeção de shellcode diretamente na memória de processos confiáveis do Windows, sem deixar binários descriptografados no disco.
O AsyncRAT é um malware open source que oferece amplo controle ao atacante sobre o dispositivo comprometido, permitindo vigilância e coleta de dados por meio de keylogging, captura de tela e webcam, monitoramento da área de transferência, acesso ao sistema de arquivos, execução remota de comandos e persistência mesmo após reinicializações.
A infecção começa com um e-mail de phishing que entrega um arquivo Virtual Hard Disk (VHD) hospedado na rede descentralizada InterPlanetary Filesystem (IPFS).
Esses arquivos VHD são camuflados como PDFs de ordens de compra, enganando as vítimas.
A campanha acontece em múltiplas etapas, usando arquivos Windows Script File (WSF), scripts batch altamente obfuscados e carregadores PowerShell autoanalizantes para entregar um shellcode x64 criptografado.
Esse shellcode corresponde ao AsyncRAT, que é injetado em processos do Windows assinados pela Microsoft, executando-se inteiramente na memória e reduzindo a presença de artefatos no disco.
Quando o usuário tenta abrir o arquivo camuflado como PDF, o sistema monta o VHD como um drive virtual, geralmente identificado como “E:\”, conforme explica a equipe de pesquisa: “Usar um arquivo VHD é uma técnica eficaz para evasão em campanhas modernas de malware, pois permite burlar certos controles de segurança.”
No drive virtual há um script WSF que, ao ser executado, descarrega e executa um script batch ofuscado.
Esse script realiza diversas verificações para confirmar se não está rodando em ambiente virtualizado ou sandbox, além de checar se possui privilégios necessários para continuar.
Com esses critérios satisfeitos, o script ativa um injetor de processos baseado em PowerShell, que também atua como módulo de persistência.
Ele valida o ambiente, descriptografa payloads incorporados, configura persistência por meio de tarefas agendadas e injeta o malware final em processos confiáveis, como RuntimeBroker.exe, OneDrive.exe, taskhostw.exe e sihost.exe, evitando a escrita de arquivos maliciosos no disco.
Essa camada de PowerShell cria uma plataforma de execução furtiva e resiliente, permitindo que o trojan rode exclusivamente na memória, mesclando-se à atividade legítima do sistema e garantindo acesso prolongado ao ambiente comprometido.
Para aumentar ainda mais a discrição, o malware controla o momento da execução e limita o uso do processador com intervalos de descanso, reduzindo atividades suspeitas rápidas envolvendo chamadas Win32 APIs e tornando seu comportamento em tempo real menos anômalo.
Os pesquisadores da Securonix destacam que campanhas modernas de malware cada vez mais exploram formatos de arquivo confiáveis, abuso de scripts e execução residente em memória para contornar controles tradicionais de segurança.
“Em vez de entregar um único binário malicioso, os atacantes criam pipelines de execução em múltiplas etapas, onde cada componente isolado parece benigno.
Essa evolução torna detecção, análise e resposta a incidentes muito mais difíceis para os defensores.”
No caso da cadeia de infecção do DEAD#VAX, entregar o AsyncRAT como shellcode criptografado e residente apenas na memória aumenta significativamente sua furtividade.
O payload nunca aparece no disco de forma reconhecível e roda dentro do contexto de processos confiáveis do Windows.
Esse modelo fileless dificulta a detecção e a análise forense, permitindo que o AsyncRAT opere com baixo risco de ser identificado por soluções tradicionais de segurança de endpoints.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...