VOLTAR ÀS NOTÍCIAS
Última Hora

Campanha DEAD#VAX Explora IPFS e Ofuscação para Distribuir AsyncRAT

3 min de leituraFonte: The Hacker News

Pesquisadores descobrem campanha sofisticada de malware DEAD#VAX, que usa IPFS e técnicas avançadas de ofuscação para implantar o trojan AsyncRAT em organizações.

Campanha Sofisticada de Malware DEAD#VAX Visa Organizações com AsyncRAT

Pesquisadores de segurança descobriram uma campanha de malware furtiva, DEAD#VAX, que emprega uma combinação de arquivos VHD hospedados em IPFS, ofuscação avançada de scripts e execução em memória para contornar defesas de segurança tradicionais e implantar o AsyncRAT (Trojan de Acesso Remoto). A campanha demonstra um tradecraft disciplinado e abuso de recursos legítimos do sistema para evitar detecção.

Análise Técnica da Cadeia de Ataque

A campanha DEAD#VAX utiliza múltiplas técnicas de evasão para evitar detecção:

  • Payloads Maliciosos Hospedados em IPFS: Os agentes de ameaça distribuem arquivos de Disco Virtual (VHD) por meio do InterPlanetary File System (IPFS), uma rede de armazenamento descentralizada que complica os esforços de remoção.
  • Ofuscação Extrema de Scripts: Os atacantes utilizam scripts fortemente ofuscados para ocultar código malicioso, dificultando a análise estática.
  • Descriptografia em Tempo de Execução e Execução em Memória: Os componentes do malware são descriptografados em tempo de execução e executados em memória, evitando mecanismos de detecção baseados em disco.
  • Implantação do AsyncRAT: A carga útil final é o AsyncRAT, um RAT de código aberto amplamente utilizado, capaz de controle remoto, exfiltração de dados e persistência.

Impacto e Desafios de Detecção

O uso do IPFS para hospedar arquivos maliciosos apresenta um desafio significativo para os defensores, uma vez que os métodos tradicionais de bloqueio baseados em domínios são ineficazes. Além disso, a dependência da campanha em execução em memória e ofuscação torna mais difícil para soluções de detecção e resposta em endpoints (EDR) identificar atividades maliciosas.

As equipes de segurança devem monitorar:

  • Downloads incomuns de arquivos VHD a partir de gateways do IPFS
  • Execução suspeita de PowerShell ou scripts
  • Conexões de rede para servidores conhecidos de comando e controle (C2) do AsyncRAT

Recomendações de Mitigação e Resposta

As organizações podem reduzir riscos implementando as seguintes medidas:

  • Restringir Acesso a Gateways do IPFS: Bloquear ou monitorar o acesso a gateways conhecidos do IPFS, a menos que sejam explicitamente necessários.
  • Aprimorar o Monitoramento de Scripts: Implementar análise comportamental avançada para detectar scripts ofuscados e execução em memória.
  • Proteção de Endpoints: Garantir que soluções de EDR/XDR estejam configuradas para detectar o AsyncRAT e RATs similares.
  • Treinamento de Conscientização do Usuário: Educar funcionários sobre os riscos de phishing, especialmente aqueles que envolvem tipos de arquivos incomuns (por exemplo, VHD).

Os pesquisadores continuam analisando a campanha em busca de indicadores adicionais de comprometimento (IOCs). As equipes de segurança são aconselhadas a se manterem atualizadas sobre ameaças emergentes e ajustar suas defesas conforme necessário.

Compartilhar

TwitterLinkedIn