Các nhà nghiên cứu mối đe dọa đã tiết lộ chi tiết về một chiến dịch phần mềm độc hại mới, tinh vi có tên DEAD#VAX. Chiến dịch này sử dụng sự kết hợp giữa "kỹ thuật tấn công kỷ luật và lạm dụng thông minh các tính năng hệ thống hợp pháp" để vượt qua các cơ chế phát hiện truyền thống và triển khai một trojan truy cập từ xa (RAT) được gọi là AsyncRAT.
"Cuộc tấn công tận dụng các tệp VHD được lưu trữ trên IPFS, kỹ thuật che giấu script cực đoan, giải mã tại thời điểm thực thi và tiêm shellcode vào bộ nhớ của các tiến trình Windows đáng tin cậy, không bao giờ thả một tệp nhị phân đã giải mã nào xuống đĩa," các nhà nghiên cứu của Securonix là Akshay Gaikwad, Shikha Sangwan và Aaron Beardslee cho biết trong một báo cáo được chia sẻ với The Hacker News.
AsyncRAT là một phần mềm độc hại mã nguồn mở cung cấp cho kẻ tấn công quyền kiểm soát rộng rãi các thiết bị đầu cuối bị xâm nhập, cho phép giám sát và thu thập dữ liệu thông qua ghi nhật ký bàn phím (keylogging), chụp màn hình và webcam, theo dõi clipboard, truy cập hệ thống tệp, thực thi lệnh từ xa và duy trì sự tồn tại sau khi khởi động lại.
Điểm khởi đầu của chuỗi lây nhiễm là một email lừa đảo (phishing email) chứa một tệp Virtual Hard Disk (VHD) được lưu trữ trên mạng InterPlanetary Filesystem (IPFS) phi tập trung. Các tệp VHD này được ngụy trang thành các tệp PDF về đơn đặt hàng để lừa dối mục tiêu.
Chiến dịch đa giai đoạn này được tài trợ để tận dụng Windows Script Files (WSF), các script batch bị che giấu mạnh mẽ và các trình tải PowerShell tự phân tích cú pháp để phân phối một shellcode x64 được mã hóa. Shellcode này chính là AsyncRAT, được tiêm trực tiếp vào các tiến trình Windows đáng tin cậy và thực thi hoàn toàn trong bộ nhớ, giảm thiểu hiệu quả mọi dấu vết pháp lý trên đĩa.
"Sau khi tải xuống, khi người dùng chỉ cần cố gắng mở tệp trông giống PDF này và nhấp đúp vào nó, tệp sẽ được gắn kết như một ổ đĩa cứng ảo," các nhà nghiên cứu giải thích. "Sử dụng tệp VHD là một kỹ thuật trốn tránh rất cụ thể và hiệu quả được sử dụng trong các chiến dịch phần mềm độc hại hiện đại. Hành vi này cho thấy cách các tệp VHD vượt qua một số biện pháp kiểm soát an ninh."
Bên trong ổ đĩa "E:" vừa được gắn kết là một WSF script mà khi được nạn nhân thực thi, với giả định đó là một tài liệu PDF, sẽ thả và chạy một script batch bị che giấu. Script này trước tiên sẽ chạy một loạt kiểm tra để xác định xem nó có đang chạy bên trong môi trường ảo hóa hoặc sandboxed hay không, và liệu nó có các đặc quyền cần thiết để tiếp tục hay không.
Khi tất cả các điều kiện được đáp ứng, script sẽ triển khai một công cụ tiêm tiến trình và mô-đun duy trì sự tồn tại dựa trên PowerShell. Công cụ này được thiết kế để xác thực môi trường thực thi, giải mã các payload nhúng, thiết lập duy trì sự tồn tại bằng cách sử dụng các tác vụ đã lên lịch (scheduled tasks), và tiêm phần mềm độc hại cuối cùng vào các tiến trình Windows được Microsoft ký (ví dụ: RuntimeBroker.exe, OneDrive.exe, taskhostw.exe và sihost.exe) để tránh ghi các dấu vết ra đĩa.
Thành phần PowerShell tạo nền tảng cho một "công cụ thực thi tinh vi và linh hoạt" cho phép trojan chạy hoàn toàn trong bộ nhớ và hòa nhập vào các hoạt động hệ thống hợp pháp, từ đó cho phép truy cập lâu dài vào các môi trường bị xâm nhập.
Để tăng cường mức độ tinh vi, phần mềm độc hại kiểm soát thời gian thực thi và điều tiết thực thi bằng cách sử dụng các khoảng thời gian ngủ (sleep intervals) nhằm giảm mức sử dụng CPU, tránh hoạt động Win32 API nhanh đáng ngờ và làm cho hành vi lúc chạy ít bất thường hơn.
"Các chiến dịch phần mềm độc hại hiện đại ngày càng dựa vào các định dạng tệp đáng tin cậy, lạm dụng script và thực thi cư trú trong bộ nhớ để vượt qua các biện pháp kiểm soát bảo mật truyền thống," các nhà nghiên cứu cho biết. "Thay vì phân phối một tệp nhị phân độc hại duy nhất, kẻ tấn công giờ đây xây dựng các đường ống thực thi đa giai đoạn, trong đó mỗi thành phần riêng lẻ xuất hiện lành tính khi được phân tích riêng lẻ. Sự thay đổi này đã khiến việc phát hiện, phân tích và phản ứng sự cố trở nên khó khăn hơn đáng kể đối với các nhà phòng thủ."
"Trong chuỗi lây nhiễm cụ thể này, quyết định phân phối AsyncRAT dưới dạng shellcode được mã hóa, cư trú trong bộ nhớ làm tăng đáng kể tính tinh vi của nó. Payload không bao giờ xuất hiện trên đĩa dưới dạng tệp thực thi có thể nhận dạng và chạy trong ngữ cảnh của các tiến trình Windows đáng tin cậy. Mô hình thực thi không tệp (fileless) này làm cho việc phát hiện và phục hồi pháp y trở nên khó khăn hơn đáng kể, cho phép AsyncRAT hoạt động với rủi ro bị phát hiện thấp hơn bởi các biện pháp kiểm soát an ninh điểm cuối truyền thống."
