São Paulo — InkDesign News — Um recente ataque utilizando um loader sem arquivos para entregar o AsyncRAT, um conhecido Trojan de Acesso Remoto, foi investigado por LevelBlue Labs, revelando vulnerabilidades significativas em sistemas comprometidos.
Incidente e vulnerabilidade
O ataque teve início através de um cliente ScreenConnect comprometido, onde a execução de processos maliciosos foi detectada pelo SentinelOne. Os atacantes direcionaram a conexão pelo domínio relay.shipperzone.online, relacionado a implantações não autorizadas do ScreenConnect. Posteriormente, um script VB chamado Update.vbs foi executado com WScript, lançando comandos PowerShell que baixaram dois payloads do servidor externo. Estes foram armazenados no diretório do usuário público e executados inteiramente na memória, evadindo assim detecções tradicionais de malware.
O estágio inicial envolveu o Obfuscator.dll, uma montagem .NET que fornece uma plataforma para lançar códigos maliciosos, desabilitar controles de segurança e garantir persistência no sistema. As técnicas utilizadas incluíram a correção de AMSI e ETW para contornar o registro de eventos do Windows, resolução dinâmica de API e a criação de uma tarefa agendada disfarçada como “Skype Updater” (“Atualizador do Skype”).
Impacto e resposta
Na segunda fase, o AsyncClient.exe gerenciou as atividades de comando e controle, utilizando AES-256 para descriptografar suas configurações. Essa configuração revelou o servidor C2 em 3osch20.duckdns.org, além de bandeiras de infecção e configurações de persistência. O malware manteve a comunicação com o servidor através de um socket TCP, utilizando formatos de pacote personalizados. O AsyncRAT também realizava atividades de reconhecimento na máquina infectada, registrando pressionamentos de tecla e coletando dados sensíveis, como credenciais de usuários e conteúdo da área de transferência.
Neste caso, os ataques resultaram em uma significativa exfiltração de dados, colocando organizações em risco. A resposta inicial incluiu a detecção de atividades maliciosas e a implementação de medidas de contenção.
Mitigações recomendadas
Para mitigar os riscos associados a esse tipo de ataque, é recomendável aplicar patches de segurança oferecidos pelos fornecedores dos sistemas em uso. Além disso, boas práticas como monitoramento constante de redes, atualizações regulares de software e a educação dos usuários sobre phishing e técnicas de engenharia social devem ser priorizadas.
“A utilização de métodos sem arquivos é um desafio crescente para as organizações.”
(“The use of fileless methods is a growing challenge for organizations.”)— Especialista de Segurança, LevelBlue Labs
Outra recomendação crucial é a adoção de soluções de segurança que integrem inteligência de ameaças e recursos de resposta automatizada.
O aumento da sofisticação nos métodos de ataque requer vigilância proativa. A segurança cibernética continua a ser uma preocupação vital com a evolução constante dos vetores de ataque.
Fonte: (Hack Read – Segurança Cibernética)
