Los investigadores de ciberseguridad han descubierto una sofisticada campaña de malware sin archivo que explota herramientas de sistema legítimas. El ataque evita la detección tradicional basada en el disco al ejecutar código malicioso por completo en la memoria, lo que dificulta la detección, analizar o eliminar. Los investigadores encontraron que la operación finalmente entregó a Asyncrat, un poderoso troyano de acceso remoto (rata), a través de un cargador sin fila de varias etapas. Acceso inicial a través de una herramienta remota comprometida de acuerdo con un aviso publicado por LevelBlue el miércoles, la violación comenzó con un cliente de captura de pantalla comprometida, una plataforma de acceso remoto ampliamente utilizada. Los actores de amenaza establecieron una sesión interactiva a través del relé del dominio.[.]En línea, vinculado a implementaciones de capturas de pantalla no autorizadas. Durante esta sesión, un VBScript llamado update.vbs ejecutado a través de WScript activó un comando PowerShell para descargar dos cargas útiles. Los archivos, logs.ldk y logs.dr, se guardaron en el directorio C: \ Users \ public \ nunca escrito como ejecutables en el disco. Se cargaron directamente en la memoria usando la reflexión. La primera carga útil se convirtió en una matriz de bytes, mientras que la segunda fue ejecutada directamente. El script recuperó datos codificados de la web, lo decodificó en la memoria e invocó un ensamblaje de .NET para ejecutar el ataque, un sello distintivo de malware sin fila. Lea más sobre las técnicas de ejecución de malware sin fila: el cargador basado en PowerShell despliega REMCOS RAT en un nuevo ataque de Fileless, la cadena de infección de Asyncrat, un ensamblaje de .NET de primera etapa, OBFUSCATOR.DLL, actúa como un lanzador para la cadena de infección de Asyncrat. El análisis LevelBlue reveló tres clases principales: Clase A, que inicializa el núcleo de clase de entorno de tiempo de ejecución, que establece la persistencia a través de una tarea programada disfrazada de «Skype Updater» y carga la clase de carga útil adicional TAFCE5, que desactiva el registro de seguridad de Windows, los script de escaneo de scripts y resuelven APIS dinámicamente el diseño modular permitido que el malware de malware para evadir la detección mientras prepara el sistema para la carga de pago de la rata. Mientras tanto, AsyncClient.exe funciona como el motor de comando y control (C2). Mantiene el acceso persistente, realiza el reconocimiento del sistema y ejecuta comandos proporcionados por los atacantes. Las capacidades clave incluyen: descifrado AES-256 de configuraciones integradas, incluidos los dominios C2 como 3OSCH20[.]pato[.]org, infection flags and target directories such as %AppData% TCP-based communication with custom packet protocols for command dispatch Data exfiltration, including operating system details, privilege levels, antivirus status, active window titles and browser extensions such as MetaMask and Phantom Keylogging with context capture, ensuring persistence through scheduled tasks “By breaking down key elements, we can understand how the malware maintains La persistencia, carga dinámicamente las cargas útiles y exfiltran datos confidenciales como credenciales, contenido del portapapeles y artefactos del navegador ”, dice el aviso. «Estos hallazgos permiten la creación de firmas de detección específicas y respaldan el endurecimiento del punto final basado en comportamientos observados».