Nova Campanha de Malware Utiliza AsyncRAT, Python e TryCloudflare para Ataques Furtivos

Uma descoberta significativa da equipe de pesquisa X-Labs da Forcepoint revelou uma nova campanha de malware que emprega AsyncRAT, um trojan de acesso remoto (RAT) notório, combinado com scripts em Python e túneis TryCloudflare. Essa combinação permite a entrega de cargas maliciosas com maior sigilo.

Essa campanha reflete uma tendência crescente de adversários explorando infraestruturas legítimas para mascarar seus ataques, alinhando-se com previsões recentes do setor de cibersegurança.

O AsyncRAT é conhecido por sua capacidade de comunicação assíncrona, permitindo que invasores controlem sistemas comprometidos, exfiltrem dados sensíveis e executem comandos sem serem detectados.

Nesta campanha, os invasores utilizam e-mails de phishing, URLs do TryCloudflare e uma cadeia de scripts ofuscados para contornar mecanismos de segurança e entregar a carga maliciosa por meio de módulos baseados em Python.

Decifrando a Complexidade do Ataque

A cadeia de infecção começa com um e-mail de phishing contendo um link do Dropbox, que faz o download de um arquivo ZIP.

Esse arquivo ZIP inclui um atalho de internet (.URL) que redireciona para um link malicioso hospedado no TryCloudflare.

Progressão do ataque:

1. Arquivo URL: O atalho .URL direciona para um arquivo .LNK armazenado em um diretório do TryCloudflare.
2. LNK e JavaScript: O arquivo .LNK executa scripts PowerShell que baixam um arquivo JavaScript altamente ofuscado (.JS).
3. Arquivo Batch: Um arquivo .BAT usa comandos PowerShell para baixar outro arquivo ZIP contendo um script Python e outros componentes.
4. Script Python: O script extraído (load.py) executa shellcode malicioso contido em arquivos .BIN.

O Papel do Python e a Técnica de Injeção Early Bird

O script Python (load.py) desempenha um papel central na entrega da carga maliciosa. Ele utiliza a biblioteca ctypes para funções como alocação de memória, criação de processos e injeção de código.

Os invasores empregam a técnica de injeção “Early Bird APC Queue”, que permite a execução de código malicioso na fase inicial de processos legítimos, evitando a detecção por soluções tradicionais de segurança de endpoints.

A carga útil se comunica com servidores de comando e controle (C2) em IPs como 62.60.190.141, operando em portas não convencionais, como 3232 e 4056. Esses canais C2 facilitam a exfiltração de dados e a execução remota de comandos, garantindo controle total sobre o host infectado.

Uso de Plataformas Legítimas para Ataques de Baixo Custo

Essa campanha demonstra como os invasores transformam plataformas legítimas, como Dropbox e TryCloudflare, em ferramentas para criar cadeias de ataque eficazes e de baixo custo.

Utilizando múltiplas camadas de ofuscação, arquivos com aparência legítima e infraestrutura confiável, os atacantes conseguem contornar as defesas tradicionais.

A pesquisa da Forcepoint reforça a necessidade de defesas em camadas e inteligência proativa contra ameaças. À medida que os ataques usando infraestrutura aberta e de baixo custo se tornam mais sofisticados, as organizações devem adotar técnicas avançadas de detecção e mitigação para permanecerem à frente das ameaças emergentes.