🔒 Chiến dịch phần mềm độc hại DEAD#VAX triển khai AsyncRAT thông qua các tệp lừa đảo VHD được lưu trữ trên máy chủ IPFS

Những kẻ săn mối đe dọa đã tiết lộ thông tin chi tiết về một chiến dịch phần mềm độc hại lén lút mới có tên là DEAD#VAX sử dụng kết hợp “thủ công có kỷ luật và lạm dụng thông minh các tính năng hệ thống hợp pháp” để vượt qua các cơ chế phát hiện truyền thống và triển khai trojan truy cập từ xa (RAT) được gọi là AsyncRAT.

malware.jpg" alt="Hình ảnh minh họa" loading="lazy" />

📋 Nội dung chi tiết

Các nhà nghiên cứu của Securonix Akshay Gaikwad, Shikha Sangwan và Aaron Beardsleesaidin đã chia sẻ một báo cáo với The Hacker News: “Cuộc tấn công tận dụng các tệp VHD được lưu trữ trên IPFS, làm xáo trộn tập lệnh cực độ, giải mã thời gian chạy và chèn mã shell trong bộ nhớ vào các quy trình Windows đáng tin cậy, không bao giờ thả tệp nhị phân được giải mã vào đĩa”.

AsyncRAT là phần mềm độc hại nguồn mở cung cấp cho kẻ tấn công quyền kiểm soát rộng rãi đối với các điểm cuối bị xâm nhập, cho phép giám sát và thu thập dữ liệu thông qua keylogging, chụp màn hình và webcam, giám sát clipboard, truy cập hệ thống tệp, thực thi lệnh từ xa và duy trì trong quá trình khởi động lại.

Điểm bắt đầu của chuỗi lây nhiễm là một email lừa đảo gửi Đĩa cứng ảo (VHD) được lưu trữ trên mạng Hệ thống tệp liên hành tinh phi tập trung (IPFS). Các file VHD được ngụy trang dưới dạng file PDF dùng để đặt hàng nhằm đánh lừa mục tiêu.

Chiến dịch nhiều giai đoạn đã được tài trợ để tận dụng Tệp Windows Script (WSF), các tập lệnh bó bị xáo trộn nhiều và trình tải PowerShell tự phân tích cú pháp để cung cấp mã shell x64 được mã hóa. Shellcode được đề cập là AsyncRAT, được đưa trực tiếp vào các quy trình Windows đáng tin cậy và được thực thi hoàn toàn trong bộ nhớ, giúp giảm thiểu một cách hiệu quả mọi tạo phẩm pháp y trên đĩa.

🔍 Thông tin bổ sung

Các nhà nghiên cứu giải thích: “Sau khi tải xuống, khi người dùng chỉ cần cố gắng mở tệp có dạng PDF này và nhấp đúp vào nó, nó sẽ được gắn vào như một ổ cứng ảo”. "Sử dụng tệp VHD là một kỹ thuật trốn tránh rất cụ thể và hiệu quả được sử dụng trong các chiến dịch phần mềm độc hại hiện đại. Hành vi này cho thấy cách các tệp VHD vượt qua các biện pháp kiểm soát bảo mật nhất định."

Có trong ổ đĩa mới được gắn "E:\" là một tập lệnh WSF mà khi được nạn nhân thực thi, giả sử nó là một tài liệu PDF, sẽ thả và chạy một tập lệnh bó bị che khuất, trước tiên chạy một loạt kiểm tra để xác định xem nó có chạy trong môi trường ảo hóa hoặc hộp cát hay không và nó có các đặc quyền cần thiết để tiếp tục.

Sau khi đã thỏa mãn tất cả các điều kiện, tập lệnh sẽ giải phóng mô-đun lưu trữ và trình tiêm quy trình dựa trên PowerShell được thiết kế để xác thực môi trường thực thi, giải mã các tải trọng nhúng, thiết lập tính bền vững bằng các tác vụ đã lên lịch và đưa phần mềm độc hại cuối cùng vào các quy trình Windows có chữ ký của Microsoft (ví dụ: RuntimeBroker.exe, OneDrive.exe, taskhostw.exe và sihost.exe) để tránh ghi các tạo phẩm vào đĩa.

Thành phần PowerShell đặt nền tảng cho một "công cụ thực thi lén lút, linh hoạt" cho phép trojan chạy hoàn toàn trong bộ nhớ và hòa trộn vào hoạt động hệ thống hợp pháp, từ đó cho phép truy cập lâu dài vào các môi trường bị xâm nhập.

🔍 Thông tin bổ sung

Để nâng cao hơn nữa mức độ tàng hình, phần mềm độc hại kiểm soát thời gian thực thi và điều chỉnh quá trình thực thi bằng cách sử dụng khoảng thời gian ngủ để giảm mức sử dụng CPU, tránh hoạt động API Win32 nhanh đáng ngờ và làm cho hành vi thời gian chạy ít bất thường hơn.

Các nhà nghiên cứu cho biết: “Các chiến dịch phần mềm độc hại hiện đại ngày càng dựa vào các định dạng tệp đáng tin cậy, lạm dụng tập lệnh và thực thi thường trú trong bộ nhớ để vượt qua các biện pháp kiểm soát bảo mật truyền thống”. "Thay vì cung cấp một tệp nhị phân độc hại duy nhất, những kẻ tấn công hiện xây dựng các đường dẫn thực thi nhiều giai đoạn trong đó mỗi thành phần riêng lẻ có vẻ lành tính khi được phân tích riêng biệt. Sự thay đổi này đã khiến việc phát hiện, phân tích và ứng phó sự cố trở nên khó khăn hơn đáng kể đối với những kẻ bảo vệ."

"Trong chuỗi lây nhiễm cụ thể này, quyết định phân phối AsyncRAT dưới dạng shellcode được mã hóa, lưu trú trong bộ nhớ làm tăng đáng kể khả năng tàng hình của nó. Tải trọng không bao giờ xuất hiện trên đĩa ở dạng thực thi có thể nhận dạng được và chạy trong bối cảnh của các quy trình Windows đáng tin cậy. Mô hình thực thi không dùng tệp này khiến cho việc phát hiện và xây dựng lại pháp y trở nên khó khăn hơn đáng kể, cho phép AsyncRAT hoạt động với mức giảm rủi ro bị phát hiện bằng các biện pháp kiểm soát bảo mật điểm cuối truyền thống."

📌 Kết luận

Đây là một sự kiện đáng chú ý trong lĩnh vực an ninh mạng. Người dùng và doanh nghiệp cần cập nhật các biện pháp bảo mật để bảo vệ hệ thống của mình.