Investigadores en ciberseguridad han detectado una campaña sofisticada de malware sin archivos que aprovecha herramientas legítimas del sistema para instalar un potente troyano de acceso remoto (RAT). Al ejecutarse completamente en memoria, este tipo de malware elude la detección basada en disco, lo que dificulta su identificación, análisis y eliminación.

Acceso inicial a través de herramientas remotas comprometidas

Según un aviso de LevelBlue, el ataque comenzó con un cliente ScreenConnect comprometido, una plataforma de acceso remoto ampliamente utilizada. Los atacantes establecieron una sesión interactiva mediante el dominio relay.shipperzone[.]online, asociado con despliegues no autorizados de ScreenConnect.

Durante la sesión, un VBScript llamado Update.vbs se ejecutó a través de WScript, lo que disparó un comando de PowerShell para descargar dos cargas útiles: logs.ldk y logs.ldr. Estos archivos se guardaron en C:\Users\Public\, pero nunca se escribieron como ejecutables en el disco. En su lugar, se cargaron directamente en memoria utilizando reflection, una técnica característica del malware sin archivos.

El primer payload se convirtió en un array de bytes, mientras que el segundo se ejecutó directamente. Los datos codificados obtenidos de la web se decodificaron en memoria e invocaron un ensamblado .NET para ejecutar el ataque.

Cadena de infección de AsyncRAT

Un ensamblado .NET de primera etapa, Obfuscator.dll, actúa como lanzador de la cadena de infección de AsyncRAT. El análisis de LevelBlue identificó tres componentes principales:

• Class A – Inicializa el entorno de ejecución.
• Class Core – Asegura persistencia mediante una tarea programada disfrazada como “Skype Updater” y carga payloads adicionales.
• Class Tafce5 – Desactiva el registro de seguridad de Windows, parchea la revisión de scripts y resuelve APIs de manera dinámica.

Esta arquitectura modular permite que el malware eluda la detección mientras prepara el sistema para la carga útil del RAT.

Capacidades de AsyncRAT

El RAT, ejecutado mediante AsyncClient.exe, funciona como un motor de comando y control (C2), manteniendo acceso persistente, realizando reconocimiento del sistema y ejecutando comandos proporcionados por los atacantes. Sus funciones clave incluyen:

• Descifrado AES-256 de la configuración incrustada, incluyendo dominios C2 (por ejemplo, 3osch20[.]duckdns[.]org), flags de infección y directorios objetivo (%AppData%).
• Comunicación TCP mediante protocolos de paquete personalizados para el envío de comandos.
• Exfiltración de datos, incluyendo detalles del sistema operativo, privilegios de usuario, estado de antivirus, ventanas activas y extensiones de navegador como MetaMask y Phantom.
• Registro de teclas (keylogging) con captura contextual y persistencia mediante tareas programadas.

El aviso de LevelBlue indica:

“Analizando estos elementos, podemos entender cómo el malware mantiene la persistencia, carga dinámicamente payloads y exfiltra datos sensibles como credenciales, contenido del portapapeles y artefactos de navegador. Estos hallazgos permiten crear firmas de detección específicas y fortalecer endpoints basándose en los comportamientos observados.”

Implicaciones para las organizaciones

Este incidente evidencia la creciente sofisticación de los ataques sin archivos, capaces de evadir medidas de seguridad tradicionales. Las organizaciones deben priorizar monitorización de endpoints, análisis de comportamiento y endurecimiento proactivo para defenderse de malware residente en memoria que explota herramientas legítimas del sistema.

Fuente: https://www.infosecurity-magazine.com/news/fileless-malware-deploys-advanced