Novo ataque de malware sem arquivo usa AsyncRAT para roubo de credenciais

O LevelBlue Labs publicou uma nova pesquisa sobre um ataque recente que usou um carregador sem arquivo para entregar o AsyncRAT , um Trojan de acesso remoto bem conhecido usado para roubo de credenciais e em sistemas comprometidos.

A investigação descobriu que os invasores obtiveram acesso inicial por meio de um cliente ScreenConnect comprometido, com o SentinelOne detectando a execução do processo que revelou a atividade maliciosa. A conexão foi roteada por meio de relay.shipperzone.online , um domínio vinculado a implantações não autorizadas do ScreenConnect.

A partir daí, um VBScript chamado Update.vbs foi executado com o WScript, que lançou comandos do PowerShell para baixar dois payloads, logs.ldk e logs.ldr , de um servidor externo. Estes foram colocados no diretório público do usuário e executados inteiramente na memória.

A análise técnica do LevelBlue Labs, compartilhada com o Hackread.com, mostrou que o primeiro estágio foi Obfuscator.dll , um assembly .NET usado para lançar código malicioso, desabilitar controles de segurança e definir persistência. Seus métodos incluíam a aplicação de patches no AMSI e no ETW para contornar o registro do Windows, resolução dinâmica de API para impedir a detecção estática e a criação de uma tarefa agendada disfarçada de " Atualizador do Skype ".

O segundo estágio, AsyncClient.exe , controlava a atividade de comando e controle. Ele descriptografou sua configuração usando AES-256, que revelou seu servidor C2 em 3osch20.duckdns.org , juntamente com sinalizadores de infecção e configurações de persistência. A comunicação com o servidor era mantida por meio de um soquete TCP usando formatos de pacote personalizados.

As capacidades do AsyncRAT neste caso incluíam o reconhecimento da máquina infectada, registro de teclas digitadas, coleta de dados e extensões do navegador e persistência contínua por meio de tarefas agendadas. Dados confidenciais, como credenciais do usuário e conteúdo da área de transferência, podiam ser exfiltrados de volta para o operador.

O LevelBlue Labs relata que invasores agora estão usando o AsyncRAT com métodos sem arquivo que evitam as ferramentas tradicionais de detecção baseadas em disco. O relatório completo, incluindo indicadores de comprometimento e detalhes técnicos, está disponível no LevelBlue Labs.