El malware sin fila continúa evadiendo las defensas modernas debido a su naturaleza sigilosa y su dependencia de las herramientas legítimas del sistema para la ejecución. Este enfoque evita la detección tradicional basada en el disco al operar en la memoria, lo que hace que estas amenazas sean más difíciles de detectar, analizar y erradicar. Un incidente reciente culminó en el despliegue de Asyncrat, un poderoso troyano de acceso remoto (rata), a través de un cargador sin fila de varias etapas. En este blog, compartimos algunas de las conclusiones clave de esta investigación. Para un análisis en profundidad y una lista completa de indicadores identificados de compromiso (IOC), descargue el informe completo aquí. El acceso inicial a través de ScreenConnect El ataque comenzó con un cliente capturado de screenconnect, una herramienta de acceso remoto legítimo. El actor de amenaza inició una sesión interactiva a través de Relay.Shipperzone[.]En línea, un dominio malicioso conocido vinculado a implementaciones de capturas de pantalla no autorizadas. A partir de esta sesión, se ejecutó un VBScript (update.vbs) utilizando WScript, que activó un comando PowerShell diseñado para obtener dos cargas útiles externas. Las dos cargas útiles, logs.ldk y logs.dr, se descargaron desde un servidor remoto. Estos archivos se escribieron en el directorio C: \ Users \ public \ y se cargaron en la memoria utilizando la reflexión. El script convirtió la carga útil de la primera etapa (logs.ldk) en una matriz de bytes y pasó el segundo (logs.ldr) directamente al método main (). El script recupera datos codificados de la web, lo decodifica en memoria e invoca un método en un ensamblaje de .NET cargado dinámicamente. Esta técnica ejemplifica el malware sin fila: ningún ejecutable se escribe en el disco, y toda la lógica maliciosa se ejecuta en memoria. Etapa 1: OBFUSCATOR.DLL – Lanzador de carga útil y utilidad de evasión A continuación, el equipo LevelBlue usó DNSPY para analizar el ensamblaje de .NET. El primer archivo que examinaron, Obfuscator.dll, actúa como un lanzador de funcionalidad maliciosa en la cadena de infecciones basada en asyncrat. Esta DLL actúa como la primera etapa en memoria responsable de iniciar el flujo de ejecución, implementar tácticas de evasión e invocar componentes de carga útil central. Contiene tres clases básicas: Clase A: punto de entrada para la DLL, responsable de inicializar el entorno de tiempo de ejecución. CLUENO DE CLASE: Establece la persistencia utilizando una tarea programada disfrazada de «actualizador de Skype» y carga dinámicamente y ejecuta cargas útiles adicionales. Clase TAFCE5: implementa técnicas anti-análisis, que incluyen: Patchamsi () y Patchetw (): Desactivar el registro de seguridad de Windows y el escaneo de script. Resolución de API dinámica: usa getProcAddress () y getModuleHandle () para evadir el análisis estático. Este diseño modular permite que el malware deshabilite las defensas, mantenga sigilo y prepare el entorno para la carga útil principal. Etapa 2: AsyncClient.exe-Comando y control El motor Asyncclient.exe es la red troncal operativa del malware, implementando el ciclo de vida completo de comando y control después del compromiso y la ofuscación inicial. En el fondo, este binario aprovecha la modularidad, el cifrado y los mecanismos de sigilo para mantener el acceso continuo a los sistemas infectados. Realiza el reconocimiento del sistema, mantiene la conectividad a través de protocolos de ping personalizados y ejecuta comandos proporcionados por atacantes a través de un sistema de análisis dinámico de paquetes. Los aspectos clave de esta rata incluyen: Configuración y descifrado: Utiliza AES-256 para descifrar la configuración codificada de Base64 incrustadas, que incluyen: dominios y puertos C2 (3OSCH20[.]pato[.]org) Banderas de infección (por ejemplo, persistencia, anti-análisis) Directorios de destino (%AppData%) Certificado de malware y conexión HWID C2 y envío de comandos: se conecta al servidor C2 a través de TCP Socket. Envía datos utilizando un protocolo personalizado con paquetes prefijados de longitud de 4 bytes. Analiza los paquetes a través de MessagePack y los envía a Packet.read (). Reconocimiento y exfiltración: reúne detalles del sistema operativo, nivel de privilegio, estado de antivirus, títulos de ventanas activas y extensiones de navegador (por ejemplo, Metamask, Phantom). Registro y persistencia: implementa el keylogging utilizando una devolución de llamada de gancho, almacenando la entrada en un archivo temporal, junto con el contexto para capturar patrones de actividad del usuario. Asegura la persistencia a través de tareas programadas utilizando la función CreateLogInTask () vista en Ocuscator.dll o recreada redundantemente de AsyncClient. Conclusión Este análisis de la estructura de comando, el obfuscador y el asyncclient.exe revela ideas críticas sobre un sofisticado troyano de acceso remoto (rata). Al desglosar elementos clave, podemos entender cómo el malware mantiene la persistencia, carga dinámicamente las cargas útiles y exfiltrata datos confidenciales como credenciales, contenido del portapapeles y artefactos del navegador. Estos hallazgos permiten la creación de firmas de detección específicas y soportan el endurecimiento del punto final basado en comportamientos observados. Para nuestros clientes, este esfuerzo de ingeniería inversa produce inteligencia procesable. A través de estas investigaciones en profundidad, nuestro equipo tiene como objetivo mejorar la detección, la respuesta y la resistencia. Lea más sobre la investigación y las conclusiones importantes, incluidos los COI identificados, descargando el informe completo aquí. El contenido proporcionado en este documento es solo para fines informativos generales y no debe interpretarse como asesoramiento legal, regulatorio, de cumplimiento o ciberseguridad. Las organizaciones deben consultar a sus propios profesionales legales, de cumplimiento o ciberseguridad sobre obligaciones específicas y estrategias de gestión de riesgos. Si bien las soluciones de detección y respuesta de amenazas administradas de LevelBlue están diseñadas para respaldar la detección y respuesta de amenazas en el nivel de punto final, no son un sustituto para el monitoreo integral de la red, la gestión de vulnerabilidades o un programa completo de seguridad cibernética.
