A cadeia usa arquivos VHD disfarçados de PDF, scripts ofuscados, decriptação em tempo de execução e injeção em processos Windows assinados para manter o AsyncRAT em memória.
| Componente | Endpoints Windows expostos a arquivos VHD hospedados em IPFS e disfarçados como PDFs de pedidos de compra, com carga final AsyncRAT. |
| Vetor | E-mail de phishing entrega um VHD que, ao ser aberto pelo usuário, é montado como unidade virtual e apresenta um script WSF aparentando ser documento. |
| Impacto | Execução em memória do AsyncRAT com persistência, acesso remoto, keylogging, captura de tela e webcam, monitoramento de área de transferência, acesso ao sistema de arquivos e execução remota de comandos. |
| Prioridade | Restringir anexos e downloads de VHD/WSF, inspecionar uso de PowerShell e tarefas agendadas, e investigar injeção em processos Windows assinados como RuntimeBroker.exe, OneDrive.exe, taskhostw.exe e sihost.exe. |
| Artefatos | VHD, WSF, scripts batch fortemente ofuscados, carregadores PowerShell autoparsing, shellcode x64 criptografado e execução do payload dentro de processos confiáveis do Windows. |
| Mitigação | Aplicar controles contra montagem de VHD originado de e-mail ou web, bloquear execução de WSF fora de caminhos aprovados e correlacionar criação de persistência com atividade anômala de processos assinados. |
A campanha DEAD#VAX usa uma cadeia de infecção em vários estágios para entregar o AsyncRAT em endpoints Windows. O fluxo começa com phishing e evita a entrega direta de um executável reconhecível: o usuário recebe um arquivo VHD hospedado na rede IPFS e apresentado como se fosse um PDF relacionado a pedido de compra. Quando a vítima tenta abrir o arquivo, o sistema monta o conteúdo como um disco virtual, criando uma superfície de execução que pode escapar de controles centrados em anexos convencionais ou em binários salvos diretamente no disco.
A carga final é o AsyncRAT, malware de acesso remoto de código aberto com capacidades extensas de controle do endpoint. No cenário descrito, ele é entregue como shellcode x64 criptografado, decriptado em tempo de execução e injetado em processos Windows assinados. Esse modelo reduz artefatos forenses em disco porque o binário decriptado não aparece como executável comum, enquanto a atividade maliciosa passa a ocorrer dentro de processos legítimos como RuntimeBroker.exe, OneDrive.exe, taskhostw.exe e sihost.exe.
A etapa inicial depende de engenharia social: o VHD é apresentado como documento PDF para induzir abertura manual. Após a montagem da unidade virtual, o conteúdo exibe um script WSF em um caminho de unidade recém-criado, descrito como E:\. O usuário, ao confundir o script com um documento, aciona a próxima etapa. O WSF derruba e executa um script batch ofuscado, que realiza verificações de ambiente antes de liberar a execução completa da cadeia.
Essas verificações buscam sinais de virtualização ou sandbox e também validam privilégios necessários para prosseguir. Quando as condições são satisfeitas, a campanha aciona um componente PowerShell que funciona como injetor de processo e módulo de persistência. Esse componente valida o ambiente, decripta payloads embutidos, cria persistência por tarefas agendadas e injeta o malware final em processos assinados pela Microsoft. O uso de intervalos de espera e controle de tempo de execução reduz picos de CPU e diminui padrões de chamadas Win32 muito rápidas, dificultando detecção baseada apenas em comportamento abrupto.
A superfície principal está em estáções Windows nas quais usuários possam receber, baixar e montar arquivos VHD vindos de e-mail ou de links hospedados em IPFS. Ambientes que permitem execução de scripts WSF, batch e PowerShell sem restrição contextual ficam mais expostos, especialmente quando controles de endpoint não correlacionam montagem de disco virtual, execução de script e criação de persistência em uma mesma linha temporal.
O risco operacional não se limita ao arquivo inicial. A cadeia combina formatos legítimos e recursos nativos do Windows para dividir a execução em componentes que parecem menos suspeitos isoladamente. A análise defensiva precisa considerar a sequência completa: origem por phishing, montagem de VHD, execução de WSF, script batch ofuscado, PowerShell de injeção, tarefa agendada e execução do AsyncRAT em processo assinado.
- Usuários que recebem arquivos de pedido de compra falsos e têm permissão para abrir ou montar VHD localmente.
- Endpoints Windows com execução de WSF e PowerShell permitida fora de fluxos administrativos aprovados.
- Ambientes em que tarefas agendadas novas não são correlacionadas com anexos, downloads recentes ou execução de scripts.
- Processos Windows assinados que passam a apresentar comportamento de rede, acesso a arquivos ou atividade de captura incompatível com seu perfil normal.
A caça deve partir da correlação entre eventos de e-mail, navegação, sistema de arquivos e endpoint. Um sinal forte é a abertura ou montagem de VHD pouco depois do recebimento de mensagem de phishing ou acesso a conteúdo IPFS, seguida por execução de WSF dentro da unidade montada. A presença de scripts batch ofuscados ou PowerShell iniciado a partir dessa sequência aumenta a confiança de detecção, principalmente quando há criação de tarefa agendada no mesmo intervalo.
No endpoint, a execução em memória exige atenção a comportamento, não apenas a arquivos. Processos como RuntimeBroker.exe, OneDrive.exe, taskhostw.exe e sihost.exe devem ser avaliados quando exibirem criação anômala de threads, alocação de memória executável, chamadas compatíveis com injeção, conexões de rede inesperadas ou acesso incomum a área de transferência, tela, webcam e sistema de arquivos. Como o AsyncRAT inclui keylogging, captura de tela, captura de webcam, monitoramento de clipboard e execução remota de comandos, a telemetria deve priorizar abuso de APIs de entrada, captura e controle remoto.
- Montagem de arquivo VHD originado de e-mail, download recente ou caminho temporário do usuário.
- Execução de WSF a partir de unidade virtual recém-montada, especialmente quando o nome simula PDF ou pedido de compra.
- PowerShell iniciado por WSF ou batch com comportamento de decriptação, carregamento em memória ou injeção de processo.
- Criação de tarefa agendada próxima à abertura do VHD ou à execução de scripts ofuscados.
- Processos Windows assinados com conexões de rede ou acesso a recursos sensíveis fora do padrão esperado.
A resposta deve reduzir a chance de execução inicial e aumentar a visibilidade sobre cada transição da cadeia. No perímetro de e-mail e navegação, arquivos VHD e scripts WSF associados a mensagens externas devem ser bloqueados, quarentenados ou submetidos a análise reforçada. Em endpoints, a montagem de VHD por usuários comuns deve ser restringida quando não houver necessidade de negócio, e a execução de WSF, batch e PowerShell deve seguir política baseada em origem, assinatura, caminho e finalidade administrativa.
Após suspeita ou confirmação, a contenção deve priorizar isolamento do host, coleta de telemetria volátil, revisão de tarefas agendadas, análise de processos assinados com comportamento anômalo e busca por artefatos da cadeia. Como o payload final pode operar em memória, a ausência de executável malicioso em disco não elimina comprometimento. A validação precisa incluir processos vivos, conexões, eventos de script, histórico de montagem de disco, persistência e sinais de capacidades do AsyncRAT, como captura, keylogging, acesso a arquivos e execução remota.
- Bloquear ou exigir inspeção reforçada para VHD, WSF e scripts vindos de mensagens externas ou links não confiáveis.
- Restringir montagem de discos virtuais por usuários sem necessidade operacional clara.
- Aplicar política de execução para PowerShell e Windows Script Host com registro detalhado de eventos.
- Monitorar criação de tarefas agendadas associada a scripts, anexos, downloads e unidades virtuais.
- Investigar processos assinados que apresentem injeção, comunicação externa ou acesso a recursos de captura e entrada do usuário.
0 Comentários