VOLVER A NOTICIAS
Última Hora

Campaña DEAD#VAX Explotia IPFS y Ofuscación para Distribuir AsyncRAT

3 min de lecturaFuente: The Hacker News

Investigadores descubren la campaña DEAD#VAX, que usa IPFS y técnicas avanzadas de ofuscación para evadir defensas y desplegar AsyncRAT en organizaciones.

Sofisticada Campaña de Malware DEAD#VAX Ataca a Organizaciones con AsyncRAT

Investigadores de ciberseguridad han descubierto una sigilosa campaña de malware, DEAD#VAX, que emplea una combinación de archivos VHD alojados en IPFS, ofuscación avanzada de scripts y ejecución en memoria para eludir las defensas de seguridad tradicionales y desplegar AsyncRAT (Trojan de Acceso Remoto). La campaña demuestra un tradecraft disciplinado y abusa de características legítimas del sistema para evadir la detección.

Desglose Técnico de la Cadena de Ataque

La campaña DEAD#VAX aprovecha múltiples técnicas de evasión para evitar la detección:

  • Cargas Maliciosas Alojadas en IPFS: Los actores de amenazas distribuyen archivos de Disco Duro Virtual (VHD) a través del InterPlanetary File System (IPFS), una red de almacenamiento descentralizada que complica los esfuerzos de eliminación.
  • Ofuscación Extrema de Scripts: Los atacantes utilizan scripts altamente ofuscados para ocultar código malicioso, dificultando el análisis estático.
  • Descifrado en Tiempo de Ejecución y Ejecución en Memoria: Los componentes del malware se descifran en tiempo de ejecución y se ejecutan en memoria, evitando los mecanismos de detección basados en disco.
  • Despliegue de AsyncRAT: La carga útil final es AsyncRAT, un RAT de código abierto ampliamente utilizado, capaz de control remoto, exfiltración de datos y persistencia.

Impacto y Desafíos de Detección

El uso de IPFS para alojar archivos maliciosos representa un desafío significativo para los defensores, ya que los métodos tradicionales de bloqueo basados en dominios son ineficaces. Además, la dependencia de la campaña en la ejecución en memoria y la ofuscación dificulta que las soluciones de detección y respuesta en endpoints (EDR) identifiquen actividades maliciosas.

Los equipos de seguridad deben monitorear:

  • Descargas inusuales de archivos VHD desde gateways de IPFS
  • Ejecución sospechosa de PowerShell o scripts
  • Conexiones de red a servidores de comando y control (C2) conocidos de AsyncRAT

Recomendaciones de Mitigación y Respuesta

Las organizaciones pueden reducir el riesgo implementando las siguientes medidas:

  • Restringir el Acceso a Gateways de IPFS: Bloquear o monitorear el acceso a gateways de IPFS conocidos, a menos que sean explícitamente necesarios.
  • Mejorar el Monitoreo de Scripts: Implementar análisis de comportamiento avanzado para detectar scripts ofuscados y ejecución en memoria.
  • Protección de Endpoints: Asegurar que las soluciones EDR/XDR estén configuradas para detectar AsyncRAT y RATs similares.
  • Capacitación en Conciencia de Usuario: Educar a los empleados sobre los riesgos de phishing, especialmente aquellos que involucran tipos de archivos inusuales (por ejemplo, VHD).

Los investigadores continúan analizando la campaña en busca de indicadores adicionales de compromiso (IOCs). Se recomienda a los equipos de seguridad mantenerse actualizados sobre las amenazas emergentes y ajustar las defensas en consecuencia.

Compartir

TwitterLinkedIn