Los investigadores de seguridad cibernética han revelado detalles de una nueva campaña que aprovecha la pantalla de captura de pantalla de Connectwise, un software genuino de monitoreo y dirección remota (RMM), para entregar un cargador sin carne que deja caer un troyano de acercamiento remoto (rata) llamado Asyncrat para robar datos confidenciales de hosts comprometidos.
“El atacante usó Screenconnect para obtener acercamiento remoto, luego ejecutó un cargador VBScript y PowerShell en capas que obtuvo componentes ofuscados de URL externos”, dijo LevelBlue en un mensaje compartido con Hacker News. “Estos componentes incluyeron los ensamblados de .NET codificados en última instancia, desempaquetaron en Asyncrat mientras mantenían la persistencia a través de una tarea programada falsa de ‘Skype Updater'”.
En la prisión de infecciones documentada por la compañía de seguridad cibernética, se ha enemigo que los actores de amenaza aprovechan una implementación de captores de pantalla para iniciar una sesión remota y divulgar una carga útil de script de Visual Basic a través de la actividad de la tecla habilidad.
“Vimos a los instaladores de capturas de pantalla troyanizada disfrazarse de documentos financieros y de otro tipo que se envían a través de correos electrónicos de phishing”, dijo Sean Shirley, analista de Soc de Levelblue MDR, a The Hacker News.
El script, por su parte, está diseñado para recuperar dos cargas públicas externas (“logs.ldk” y “logs.dr”) de un servidor controlado por el atacante mediante un script de PowerShell. El primero de los dos archivos, “Logs.ldk”, es una DLL que es responsable de escribir un script secundario de Visual Basic en el disco, usándolo para establecer la persistencia utilizando una tarea programada al pasarla como “actualizador de Skype” para evitar la detección.
Este script de Visual Basic contiene la misma método de PowerShell observada al aparición del ataque. La tarea programada asegura que la carga útil se ejecute automáticamente luego de cada inicio de sesión.

The PowerShell script, besides loading “logs.ldk” as a .NET assembly, passes “logs.ldr” as input to the loaded assembly, leading to the execution of a binary (“AsyncClient.exe”), which is the AsyncRAT payload with capabilities to log keystrokes, steal browser credentials , fingerprint the system, and scan for installed cryptocurrency wallet desktop apps and Extensiones del navegador en Google Chrome, Brave, Microsoft Edge, Opera y Mozilla Firefox.
Toda esta información recopilada finalmente se exfila a un servidor de comando y control (C2) (“3osch20.duckdns (.) Org”) a través de un socket TCP, a los que los malware balancean para ejecutar las cargas enseres y cobrar comandos de explotación posterior. La configuración de conexión C2 está codificada o extraída de una URL de pastebina remota.
“El malware sin fila continúa planteando un desafío significativo para las defensas modernas de ciberseguridad conveniente a su naturaleza sigilosa y su dependencia de las herramientas legítimas del sistema para la ejecución”, dijo LevelBlue. “A diferencia del malware tradicional que escribe cargas enseres en el disco, las amenazas sin archivo funcionan en la memoria, lo que las hace más difíciles de detectar, analizar y erradicar”.