Los investigadores de seguridad cibernética han revelado detalles de una nueva campaña que aprovecha la pantalla de captura de pantalla conectada, un software legítimo de monitoreo y gestión remota (RMM), para entregar un cargador sin carne que deja caer un troyano de acceso remoto (rata) llamado Asíncrata Para robar datos confidenciales de hosts comprometidos.
«El atacante usó ScreenConnect para obtener acceso remoto, luego ejecutó un cargador VBScript y PowerShell en capas que obtuvo componentes ofuscados de URL externos,» LevelBlue dicho En un informe compartido con The Hacker News. «Estos componentes incluyeron los ensamblados de .NET codificados en última instancia, desempaquetaron en Asyncrat mientras mantenían la persistencia a través de una tarea programada falsa de 'Skype Updater'».
En la cadena de infecciones documentada por la compañía de seguridad cibernética, se ha encontrado que los actores de amenaza aprovechan una implementación de captores de pantalla para iniciar una sesión remota y lanzar una carga útil de script de Visual Basic a través de la actividad de la tecla práctica.
«Vimos a los instaladores de capturas de pantalla troyanizada disfrazarse de documentos financieros y de otro tipo que se envían a través de correos electrónicos de phishing», dijo Sean Shirley, analista de Soc de Levelblue MDR, a The Hacker News.
El script, por su parte, está diseñado para recuperar dos cargas públicas externas («logs.ldk» y «logs.dr») de un servidor controlado por el atacante mediante un script de PowerShell. El primero de los dos archivos, «Logs.ldk», es una DLL que es responsable de escribir un script secundario de Visual Basic en el disco, usándolo para establecer la persistencia utilizando una tarea programada al pasarla como «actualizador de Skype» para evadir la detección.
Este script de Visual Basic contiene la misma lógica de PowerShell observada al comienzo del ataque. La tarea programada asegura que la carga útil se ejecute automáticamente después de cada inicio de sesión.
The PowerShell script, besides loading «logs.ldk» as a .NET assembly, passes «logs.ldr» as input to the loaded assembly, leading to the execution of a binary («AsyncClient.exe»), which is the AsyncRAT payload with capabilities to log keystrokes, steal browser credentials , fingerprint the system, and scan for installed cryptocurrency wallet desktop apps and Extensiones del navegador en Google Chrome, Brave, Microsoft Edge, Opera y Mozilla Firefox.
Toda esta información recopilada eventualmente se exfila a un servidor de comando y control (C2) («3osch20.duckdns[.]org «) sobre un enchufe TCP, a la cual los balsos de malware se balancean para ejecutar cargas útiles y recibir comandos de explotación posteriores. La configuración de conexión C2 está codificada o extraída de una URL de pastebina remota.
«El malware sin fila continúa planteando un desafío significativo para las defensas modernas de ciberseguridad debido a su naturaleza sigilosa y su dependencia de las herramientas legítimas del sistema para la ejecución», dijo LevelBlue. «A diferencia del malware tradicional que escribe cargas útiles en el disco, las amenazas sin archivo funcionan en la memoria, lo que las hace más difíciles de detectar, analizar y erradicar».
Fuente