DEAD#VAX usa VHD em IPFS para instalar AsyncRAT e driblar detecção tradicional
Pesquisadores de segurança detalharam uma nova campanha de malware extremamente furtiva, batizada de DEAD#VAX, que combina abuso de recursos legítimos do Windows, infraestrutura descentralizada e forte ofuscação de código para distribuir o trojan de acesso remoto AsyncRAT sem chamar atenção de ferramentas de segurança tradicionais.
O que torna essa operação particularmente perigosa é o uso de arquivos VHD hospedados em IPFS, aliados a técnicas de execução apenas em memória, injeção de código em processos confiáveis e verificação ativa de ambientes de sandbox e máquinas virtuais. O objetivo é claro: reduzir ao máximo os rastros forenses e dificultar a análise por especialistas.
Uso de VHD e IPFS: infraestrutura legítima a serviço do crime
Na campanha DEAD#VAX, os criminosos distribuem arquivos VHD (Virtual Hard Disk) hospedados na rede IPFS (InterPlanetary File System), uma infraestrutura descentralizada usada de forma legítima para compartilhamento de arquivos. Em vez de depender de um servidor único, o conteúdo é espalhado em nós da rede, o que dificulta bloqueios simples por domínio ou endereço IP.
O VHD chega ao usuário disfarçado de documento PDF relacionado a ordens de compra — um tema comum em golpes de phishing corporativo. Ao abrir o suposto “PDF”, o Windows monta automaticamente o VHD como se fosse um disco virtual, aproveitando um comportamento nativo do sistema operacional. Essa etapa passa facilmente por usuários desatentos, já que não exige ações técnicas avançadas.
Dentro desse disco virtual, o arquivo malicioso principal é um script WSF (Windows Script File). Ao ser executado, ele aciona uma cadeia de scripts em lote altamente ofuscados, projetados para esconder a lógica real do ataque e confundir tanto analistas humanos quanto motores automatizados de detecção.
Verificações anti-análise e preparação do ambiente
Antes de carregar o payload final, os scripts executam diversas verificações de segurança. Entre elas:
– Detecção de ambiente de sandbox ou máquina virtual, com o objetivo de evitar que o malware seja executado em laboratórios de análise.
– Checagem de privilégios, garantindo que a máquina infectada ofereça as permissões necessárias para realizar as etapas seguintes do ataque.
– Coleta de algumas informações do sistema para orientar o comportamento do malware, caso a infecção prossiga.
Somente após passar por essas barreiras o carregador em PowerShell é acionado. Essa etapa é cuidadosamente construída para não acionar alertas comuns de segurança, explorando a flexibilidade do PowerShell e seu uso legitimo no dia a dia de administradores de sistemas.
PowerShell como carregador e execução apenas em memória
O componente em PowerShell tem três funções principais:
1. Descriptografar o payload: o código malicioso não é armazenado em formato legível em disco. Em vez disso, permanece criptografado até o momento da execução, reduzindo a chance de ser detectado por antivírus baseados em assinatura.
2. Configurar persistência: o malware cria tarefas agendadas e outros mecanismos para garantir que o AsyncRAT continue ativo mesmo após reinicializações, mantendo o acesso do invasor a longo prazo.
3. Injetar o AsyncRAT em processos confiáveis: em vez de rodar como um executável independente, o trojan é injetado em processos legítimos do Windows, assinados pela própria Microsoft, como:
– RuntimeBroker.exe
– OneDrive.exe
– taskhostw.exe
– sihost.exe
Ao utilizar processos de confiança como hospedeiros, o malware se esconde sob a “capa” de componentes nativos do sistema, dificultando a detecção por ferramentas baseadas em comportamento e listas de permissões.
Todo esse fluxo — da descriptografia à injeção — é realizado apenas em memória. Isso significa que o binário final do AsyncRAT nunca é gravado em disco em formato tradicional, o que torna a análise forense e a detecção baseadas em arquivos muito menos eficazes.
AsyncRAT: controle total do dispositivo comprometido
O AsyncRAT utilizado na campanha DEAD#VAX é um trojan de acesso remoto de código aberto, amplamente adaptável e customizável. Uma vez instalado com sucesso, ele oferece ao atacante um painel de controle completo sobre o endpoint infectado, permitindo:
– Keylogging (captura de tudo o que é digitado no teclado)
– Gravação de tela e captura de imagens da webcam
– Monitoramento da área de transferência (clipboard)
– Acesso, leitura, modificação e exfiltração de arquivos
– Execução remota de comandos no sistema
– Criação de novos mecanismos de persistência
– Instalação de malwares adicionais ou ferramentas de movimentação lateral em redes corporativas
Em um ambiente empresarial, isso significa que credenciais, documentos sensíveis, e-mails, dados financeiros e informações estratégicas podem ser coletados silenciosamente por longos períodos.
Controle do tempo de execução e redução de “ruído” suspeito
Para se manter discreto, o DEAD#VAX não apenas se esconde em processos legítimos, como também gerencia cuidadosamente o consumo de recursos e o padrão de chamadas de API do sistema. O malware insere intervalos de espera estratégicos e limita picos de uso de CPU, evitando comportamentos que normalmente seriam interpretados como suspeitos por soluções de monitoramento de desempenho ou EDRs (Endpoint Detection and Response).
Esse tipo de engenharia reduz o chamado “ruído operacional” do ataque, permitindo que a infecção perdure por mais tempo antes de ser descoberta — se for descoberta.
Mudança de paradigma: campanhas fileless e execução em múltiplos estágios
De acordo com pesquisadores, campanhas modernas como a DEAD#VAX ilustram uma tendência clara: o abandono de binários únicos e facilmente identificáveis em favor de cadeias de execução em múltiplos estágios, nas quais cada componente, analisado isoladamente, parece inofensivo ou ao menos legítimo.
Scripts em lote, PowerShell, arquivos VHD, processos assinados pela Microsoft — tudo isso são elementos comuns em ambientes corporativos. O problema surge quando são articulados deliberadamente para criar um fluxo malicioso quase invisível. Esse modelo “fileless” e fracionado torna:
– A detecção muito mais difícil, pois não há um único arquivo malicioso claro para ser bloqueado.
– A análise, mais trabalhosa, exigindo reconstrução cuidadosa de toda a cadeia de eventos.
– A resposta a incidentes, mais complexa, uma vez que rastrear a origem e o ponto de entrada se torna um desafio.
Por que o uso de IPFS complica ainda mais a defesa
A escolha da rede IPFS como meio de hospedagem dos arquivos VHD não é casual. Ela proporciona:
– Descentralização: não há um único servidor fácil de derrubar ou bloquear.
– Resiliência: mesmo que um nó seja removido, outros podem continuar servindo o mesmo conteúdo.
– Dificuldade de bloqueio por assinatura: o conteúdo pode ser acessado via diferentes gateways e caminhos, contornando bloqueios simples por domínio.
Para equipes de segurança, isso significa que não basta bloquear um endereço ou URL específicos. É necessário pensar em políticas mais amplas para o uso de tecnologias descentralizadas e avaliar a exposição da organização a esse tipo de infraestrutura.
Riscos específicos para empresas e ambientes corporativos
Campanhas como DEAD#VAX representam um risco elevado para organizações de todos os portes, em especial porque:
– Aproveitam-se de processos de negócios reais (ordens de compra, faturas, propostas).
– Usam formatos de arquivo reconhecidos pelo Windows, que não exigem ferramentas especiais para abertura.
– Dependem de ferramentas legítimas como PowerShell, que dificilmente podem ser simplesmente desativadas em ambientes corporativos.
Uma vez dentro da rede, o AsyncRAT pode ser usado como plataforma inicial para roubos de credenciais, escalonamento de privilégios, movimentação lateral e até implantação de ransomwares mais adiante.
Como reduzir a superfície de ataque contra campanhas como DEAD#VAX
Embora não exista proteção absoluta, algumas práticas podem diminuir significativamente o impacto desse tipo de ameaça:
1. Treinamento contínuo de usuários
Focar especialmente em equipes de compras, financeiro e áreas que lidam com ordens de compra e documentos externos. Eles devem ser treinados para desconfiar de anexos inesperados, principalmente arquivos que se comportem de maneira incomum, mesmo que pareçam PDFs ou documentos de rotina.
2. Políticas de execução de scripts
Restringir a execução de scripts WSF, VBS e PowerShell sem assinatura em estações de trabalho comuns. Sempre que possível, limitar o uso avançado de PowerShell a administradores, com registro detalhado das execuções.
3. Monitoramento de montagem de imagens de disco
Criar alertas para montagens de arquivos VHD incomuns em estações de trabalho de usuários comuns, especialmente quando originados de anexos de e-mail ou diretórios temporários.
4. EDR e análise comportamental
Utilizar soluções que monitorem anomalias no comportamento de processos legítimos, como RuntimeBroker.exe ou OneDrive.exe, identificando padrões que indiquem injeção de código, conexões de rede suspeitas ou abertura de canais de comando e controle.
5. Segmentação de rede e princípio do menor privilégio
Mesmo em caso de comprometimento de uma máquina, a segmentação adequada e a limitação de privilégios reduzem a capacidade do invasor de se mover lateralmente e alcançar sistemas críticos.
6. Registro e análise centralizada de logs
Consolidar logs de sistemas, estações, servidores e ferramentas de segurança em um único ponto de análise permite identificar correlações que, vistas isoladamente, passariam despercebidas.
Desafios para a resposta a incidentes e a investigação
Campanhas fileless como DEAD#VAX também impõem um novo patamar de exigência para equipes de resposta a incidentes. Como grande parte da carga maliciosa só existe na memória e é fortemente ofuscada:
– A coleta de evidências deve ser rápida, preferencialmente incluindo imagens de memória RAM, não apenas discos.
– Ferramentas tradicionais de varredura de arquivos tornam-se menos eficazes após o fato.
– A reconstrução da cadeia de ataque depende da análise detalhada de logs de execução de scripts, eventos do PowerShell, tarefas agendadas, além de correlação com dados de rede.
Isso reforça a importância de ter planos de resposta a incidentes atualizados, que considerem cenários de ameaças fileless e uso de infraestrutura descentralizada.
Tendências futuras: mais campanhas complexas e furtivas
A DEAD#VAX é um exemplo claro de como grupos maliciosos estão se profissionalizando, adotando técnicas avançadas antes restritas a atores de alto nível. O uso de:
– Infraestruturas descentralizadas como IPFS
– Execução em memória e múltiplos estágios
– Abuso intensivo de componentes nativos do Windows
indica que a fronteira entre “malware comum” e operações altamente sofisticadas está ficando cada vez mais tênue. A expectativa é que outras famílias de trojans e RATs adotem estratégias parecidas, tornando esse modelo de ataque cada vez mais frequente.
Para organizações e profissionais de segurança, isso significa a necessidade de evoluir continuamente: investir em monitoramento comportamental, capacitação técnica, automação de resposta e, principalmente, em uma visão integrada de risco que considere não só o perímetro tradicional, mas toda a cadeia de ferramentas e tecnologias utilizadas no dia a dia.
Em síntese, a campanha DEAD#VAX não é apenas “mais um” caso de distribuição de AsyncRAT, e sim um sinal claro de como criminosos estão explorando, de forma criativa, cada brecha entre o que é legítimo e o que pode ser transformado em arma digital.