Nuevo ataque de malware sin archivos utiliza AsyncRAT para el robo de credenciales

LevelBlue Labs ha publicado una nueva investigación sobre un ataque reciente que utilizó un cargador sin archivos para distribuir AsyncRAT , un conocido troyano de acceso remoto utilizado para el robo de credenciales y en sistemas comprometidos.

La investigación reveló que los atacantes obtuvieron acceso inicial a través de un cliente ScreenConnect comprometido, y SentinelOne detectó la ejecución del proceso que reveló la actividad maliciosa. La conexión se enrutó a través de relay.shipperzone.online , un dominio vinculado a implementaciones no autorizadas de ScreenConnect.

Desde allí, se ejecutó un VBScript llamado Update.vbs con WScript, que lanzó comandos de PowerShell para descargar dos cargas útiles, logs.ldk y logs.ldr , desde un servidor externo. Estas se colocaron en el directorio público del usuario y se ejecutaron completamente en memoria.

El análisis técnico de LevelBlue Labs, compartido con Hackread.com, mostró que la primera etapa fue Obfuscator.dll , un ensamblado .NET utilizado para ejecutar código malicioso, deshabilitar controles de seguridad y establecer persistencia. Sus métodos incluían la aplicación de parches a AMSI y ETW para eludir el registro de Windows, la resolución dinámica de API para dificultar la detección estática y la creación de una tarea programada camuflada como " Skype Updater ".

La segunda etapa, AsyncClient.exe , gestionó la actividad de comando y control. Descifró su configuración mediante AES-256, lo que reveló su servidor C2 en 3osch20.duckdns.org , junto con indicadores de infección y configuración de persistencia. La comunicación con el servidor se mantuvo a través de un socket TCP utilizando formatos de paquetes personalizados.

En este caso, las capacidades de AsyncRAT incluían el reconocimiento del equipo infectado, el registro de pulsaciones de teclas, la recopilación de datos del navegador y extensiones, y la persistencia continua mediante tareas programadas. Datos confidenciales, como las credenciales de usuario y el contenido del portapapeles, podían ser exfiltrados y devueltos al operador.

LevelBlue Labs informa que los atacantes ahora utilizan AsyncRAT con métodos sin archivos que evitan las herramientas tradicionales de detección basadas en disco. El informe completo, que incluye indicadores de vulnerabilidad y detalles técnicos, está disponible en LevelBlue Labs.