Pesquisadores de cybersecurity revelaram detalhes de uma nova campanha que utiliza o ConnectWise ScreenConnect, um software legítimo de Remote Monitoring and Management (RMM), para distribuir um fileless loader que instala um remote access trojan (RAT) chamado AsyncRAT, utilizado para roubar dados sensíveis de sistemas comprometidos.
“O atacante usou o ScreenConnect para obter acesso remoto e então executou um loader em camadas com VBScript e PowerShell que baixava e rodava componentes ofuscados a partir de URLs externas,” afirmou a LevelBlue em um relatório compartilhado com o site The Hacker News.
“Esses componentes incluíam assemblies .NET codificados que, na prática, desembrulhavam o AsyncRAT, mantendo persistência através de uma tarefa agendada falsa chamada ‘Skype Updater’.”
Na cadeia de infecção documentada pela empresa de cybersecurity, os atores maliciosos exploraram uma implantação do ScreenConnect para iniciar uma sessão remota e lançar um payload em Visual Basic Script por meio de atividade hands-on-keyboard.
“Vimos instaladores do ScreenConnect trojanizados que se disfarçavam como documentos financeiros e outros documentos empresariais, enviados via phishing,” disse Sean Shirley, analista do LevelBlue MDR SOC, ao The Hacker News.
O script, por sua vez, é projetado para recuperar dois payloads externos (“logs.ldk” e “logs.ldr”) de um servidor controlado pelo atacante através de um script PowerShell.
O primeiro desses arquivos, “logs.ldk”, é uma DLL responsável por gravar um segundo Visual Basic Script no disco, que é utilizado para estabelecer persistência via uma tarefa agendada, disfarçada como “Skype Updater” para evitar detecção.
Esse Visual Basic Script contém a mesma lógica em PowerShell observada no início do ataque.
A tarefa agendada garante que o payload seja executado automaticamente a cada login.
O script PowerShell, além de carregar “logs.ldk” como um assembly .NET, usa “logs.ldr” como entrada para o assembly carregado, o que leva à execução de um binário (“AsyncClient.exe”), que é o payload AsyncRAT com capacidades para registrar teclas digitadas (keylogging), roubar credenciais de navegadores, identificar a impressão digital do sistema (fingerprinting) e escanear por aplicativos e extensões de carteiras de criptomoedas instaladas no desktop e em navegadores como Google Chrome, Brave, Microsoft Edge, Opera e Mozilla Firefox.
Todas essas informações coletadas são, posteriormente, exfiltradas para um servidor de command-and-control (C2) (“3osch20.duckdns[.]org”) via socket TCP, para o qual o malware envia beacons a fim de executar payloads e receber comandos pós-exploração.
As configurações da conexão C2 são codificadas diretamente no código ou obtidas a partir de uma URL remota no Pastebin.
“Malwares fileless continuam representando um desafio significativo para as defesas de cybersecurity modernas devido à sua natureza furtiva e dependência de ferramentas legítimas do sistema para execução,” explicou a LevelBlue.
“Ao contrário de malwares tradicionais que escrevem payloads no disco, ameaças fileless operam na memória, dificultando sua detecção, análise e erradicação.”
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...