Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

DEAD#VAX Malware Campaign Deploys AsyncRAT via IPFS-Hosted VHD Phishing Files

1 minute de lecture

Mis à jour :

Voici un résumé concis de l’article :

DEAD#VAX : une campagne de malware furtive exploitant des VHD hébergés sur IPFS

Une campagne de malware évoluée, nommée DEAD#VAX, utilise des techniques sophistiquées pour contourner les défenses et déployer le RAT (Remote Access Trojan) AsyncRAT. L’attaque commence par un email de phishing délivrant un fichier de disque dur virtuel (VHD) hébergé sur le réseau IPFS. Ce fichier VHD est déguisé en document PDF. Une fois monté comme un lecteur virtuel, il déclenche une chaîne d’exécution multi-étapes impliquant des scripts obfuscés (Windows Script Files, batch) et des chargeurs PowerShell. L’objectif final est d’injecter en mémoire un shellcode AsyncRAT dans des processus Windows légitimes et signés par Microsoft, tels que RuntimeBroker.exe ou OneDrive.exe. Cette exécution en mémoire et l’absence de fichier binaire sur le disque rendent la détection et l’analyse médico-légales extrêmement difficiles. De plus, le malware module son comportement pour minimiser l’utilisation des ressources et éviter les activités suspectes, améliorant ainsi sa furtivité et sa résilience.

Points Clés :

  • Utilisation de fichiers VHD hébergés sur IPFS pour la distribution initiale.
  • Techniques d’obfuscation poussées des scripts et décryptage à l’exécution.
  • Injection de shellcode en mémoire dans des processus système légitimes.
  • Absence de dépôt de binaire exécutable sur le disque pour échapper à la détection.
  • Contrôle du timing et de l’exécution pour réduire la consommation CPU et éviter les alertes.
  • Déploiement du RAT AsyncRAT pour un contrôle à distance complet des systèmes compromis.

Vulnérabilités exploitées :

L’article ne mentionne pas de vulnérabilités spécifiques (CVE) mais décrit l’exploitation de fonctionnalités système légitimes et l’abus de confiance des formats de fichiers (VHD déguisé en PDF).

Recommandations :

  • Soyez vigilant face aux emails de phishing, particulièrement ceux contenant des fichiers VHD ou des documents suspects déguisés.
  • Sensibilisation à l’utilisation d’IPFS dans des contextes malveillants.
  • Renforcer les contrôles de sécurité sur les points d’extrémité (endpoints) pour détecter les comportements d’injection en mémoire et les activités suspectes des processus légitimes.
  • Mettre en place une surveillance approfondie des journaux et des activités des processus pour identifier les anomalies.

Source

Vous pourriez aimer