Nova Campanha de Malware Utiliza AsyncRAT, Python e TryCloudflare para Ataques Furtivos
Pesquisadores da Forcepoint descobriram uma nova campanha de malware que usa o trojan de acesso remoto AsyncRAT, scripts em Python e túneis TryCloudflare para distribuir cargas maliciosas de forma altamente furtiva. O ataque explora infraestrutura legítima para ocultar suas atividades, reforçando previsões recentes sobre tendências em cibersegurança.
Uma descoberta significativa da equipe de pesquisa X-Labs da Forcepoint revelou uma nova campanha de malware que emprega AsyncRAT, um trojan de acesso remoto (RAT) notório, combinado com scripts em Python e túneis TryCloudflare. Essa combinação permite a entrega de cargas maliciosas com maior sigilo.
Essa campanha reflete uma tendência crescente de adversários explorando infraestruturas legítimas para mascarar seus ataques, alinhando-se com previsões recentes do setor de cibersegurança.
O AsyncRAT é conhecido por sua capacidade de comunicação assíncrona, permitindo que invasores controlem sistemas comprometidos, exfiltrem dados sensíveis e executem comandos sem serem detectados.
Nesta campanha, os invasores utilizam e-mails de phishing, URLs do TryCloudflare e uma cadeia de scripts ofuscados para contornar mecanismos de segurança e entregar a carga maliciosa por meio de módulos baseados em Python.
Decifrando a Complexidade do Ataque
A cadeia de infecção começa com um e-mail de phishing contendo um link do Dropbox, que faz o download de um arquivo ZIP.
Esse arquivo ZIP inclui um atalho de internet (.URL) que redireciona para um link malicioso hospedado no TryCloudflare.
Progressão do ataque:
- Arquivo URL: O atalho .URL direciona para um arquivo .LNK armazenado em um diretório do TryCloudflare.
- LNK e JavaScript: O arquivo .LNK executa scripts PowerShell que baixam um arquivo JavaScript altamente ofuscado (.JS).
- Arquivo Batch: Um arquivo .BAT usa comandos PowerShell para baixar outro arquivo ZIP contendo um script Python e outros componentes.
- Script Python: O script extraído (load.py) executa shellcode malicioso contido em arquivos .BIN.
O Papel do Python e a Técnica de Injeção Early Bird
O script Python (load.py) desempenha um papel central na entrega da carga maliciosa. Ele utiliza a biblioteca ctypes para funções como alocação de memória, criação de processos e injeção de código.
Os invasores empregam a técnica de injeção “Early Bird APC Queue”, que permite a execução de código malicioso na fase inicial de processos legítimos, evitando a detecção por soluções tradicionais de segurança de endpoints.
A carga útil se comunica com servidores de comando e controle (C2) em IPs como 62.60.190.141, operando em portas não convencionais, como 3232 e 4056. Esses canais C2 facilitam a exfiltração de dados e a execução remota de comandos, garantindo controle total sobre o host infectado.
Uso de Plataformas Legítimas para Ataques de Baixo Custo
Essa campanha demonstra como os invasores transformam plataformas legítimas, como Dropbox e TryCloudflare, em ferramentas para criar cadeias de ataque eficazes e de baixo custo.
Utilizando múltiplas camadas de ofuscação, arquivos com aparência legítima e infraestrutura confiável, os atacantes conseguem contornar as defesas tradicionais.
A pesquisa da Forcepoint reforça a necessidade de defesas em camadas e inteligência proativa contra ameaças. À medida que os ataques usando infraestrutura aberta e de baixo custo se tornam mais sofisticados, as organizações devem adotar técnicas avançadas de detecção e mitigação para permanecerem à frente das ameaças emergentes.
