DEAD#VAX usa arquivos VHD hospedados em IPFS para distribuir AsyncRAT de forma furtiva

Pesquisadores revelaram detalhes de uma nova campanha de malware altamente furtiva, batizada de DEAD#VAX, que combina técnicas avançadas de evasão e abuso de recursos legítimos do sistema para burlar mecanismos tradicionais de detecção e instalar o AsyncRAT, um trojan de acesso remoto amplamente utilizado por hackers.

De acordo com análise conduzida pela Securonix, a campanha se destaca por utilizar arquivos VHD hospedados na rede descentralizada IPFS, além de empregar ofuscação extrema de scripts, descriptografia em tempo de execução e injeção de shellcode diretamente na memória de processos confiáveis do Microsoft Windows. Com isso, o malware evita gravar binários descriptografados em disco, reduzindo drasticamente os rastros forenses.

O AsyncRAT é um malware de código aberto que concede controle total sobre os endpoints comprometidos, permitindo atividades como keylogging, captura de tela e webcam, monitoramento da área de transferência, acesso ao sistema de arquivos, execução remota de comandos e persistência após reinicializações do sistema.

A cadeia de infecção tem início com um e-mail de phishing que entrega um arquivo VHD disfarçado como um PDF relacionado a ordens de compra. Ao ser aberto pela vítima, o arquivo é montado automaticamente como um disco virtual, explorando um comportamento legítimo do Windows. Dentro desse volume, encontra-se um script WSF que, ao ser executado, aciona um conjunto de scripts em lote altamente ofuscados.

Esses scripts realizam verificações iniciais para identificar se o ambiente não está sendo executado em sandbox ou máquina virtual e se possui os privilégios necessários. Uma vez superadas essas etapas, um carregador em PowerShell entra em ação, descriptografando o payload, configurando mecanismos de persistência por meio de tarefas agendadas e injetando o AsyncRAT diretamente em processos legítimos assinados pela Microsoft, como RuntimeBroker.exe, OneDrive.exe, taskhostw.exe e sihost.exe.

Todo o processo ocorre exclusivamente em memória, criando um mecanismo de execução resiliente e difícil de detectar. Para aumentar ainda mais o nível de furtividade, o malware controla o tempo de execução e utiliza intervalos de espera para reduzir o consumo de CPU e evitar comportamentos suspeitos associados a chamadas rápidas de APIs do sistema.

Segundo os pesquisadores, campanhas modernas de malware estão cada vez mais abandonando binários tradicionais em favor de cadeias de execução em múltiplos estágios, onde cada componente aparenta ser legítimo quando analisado isoladamente. Esse modelo de execução “fileless” torna a detecção, a análise e a resposta a incidentes significativamente mais complexas para equipes de defesa.