AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Campaña DEAD#VAX: Nueva ola de ataques utiliza VHD en IPFS y AsyncRAT para evadir detección

admin

Introducción

A principios de junio de 2024, analistas de amenazas han revelado una sofisticada campaña de malware denominada DEAD#VAX, la cual está dirigida principalmente a organizaciones europeas y estadounidenses. Esta operación maliciosa destaca por el uso combinado de técnicas avanzadas de ocultación, abuso de infraestructuras legítimas y la implantación del conocido Remote Access Trojan (RAT) AsyncRAT. El modus operandi exhibe una meticulosa disciplina operacional y una profunda comprensión de los mecanismos de evasión contemporáneos, lo que ha complicado su detección incluso por soluciones EDR y antivirus de última generación.

Contexto del Incidente

El grupo detrás de DEAD#VAX ha apostado por una cadena de ataque poco convencional, aprovechando archivos VHD (Virtual Hard Disk) alojados en la red descentralizada IPFS (InterPlanetary File System). Esta elección dificulta el bloqueo por listas negras y el takedown rápido de los artefactos maliciosos, ya que IPFS distribuye los archivos a través de nodos y no de servidores centralizados. La campaña se ha dirigido especialmente a sectores financiero, tecnológico y administraciones públicas, con una focalización en entornos Windows 10 y 11, donde la ingeniería social (phishing por correo electrónico) ha sido el vector inicial predominante.

Detalles Técnicos

La cadena de ataque se inicia con un correo de phishing que contiene un enlace a un archivo VHD almacenado en IPFS. El usuario, al montar el VHD, ejecuta un script ofuscado basado en PowerShell, el cual emplea técnicas anti-análisis y anti-debugging. El script procede a descifrar en tiempo de ejecución la carga útil del AsyncRAT directamente en memoria, evitando así el acceso a disco y la detección basada en firmas.

El RAT desplegado, AsyncRAT, es conocido por sus capacidades de control remoto, exfiltración de información, keylogging y ejecución de comandos arbitrarios. DEAD#VAX ha integrado variantes personalizadas de AsyncRAT que utilizan canales cifrados y mecanismos de persistencia poco convencionales, como la creación de tareas programadas y el abuso de WMI.

No se ha asignado aún un CVE específico a esta campaña, pero la TTP principal se corresponde con MITRE ATT&CK T1566 (Phishing), T1204 (User Execution) y T1055 (Process Injection). Los principales indicadores de compromiso (IoC) detectados incluyen hashes de VHD maliciosos, URLs de IPFS utilizadas y patrones de tráfico C2 hacia dominios recientemente registrados con ofuscación en DNS.

Impacto y Riesgos

El impacto potencial de DEAD#VAX es elevado, dada su capacidad para persistir en los sistemas comprometidos sin ser detectado durante semanas. La modularidad de AsyncRAT permite a los atacantes escalar privilegios, lateralizarse en la red y desplegar cargas adicionales como ransomware o herramientas de post-explotación tipo Cobalt Strike.

Hasta la fecha, se han identificado al menos 2.300 endpoints afectados, con un 63% en entornos empresariales. Las pérdidas asociadas a exfiltración de datos y potencial interrupción de operaciones se estiman en torno a los 7 millones de euros en los sectores afectados, según datos preliminares de los equipos de respuesta a incidentes (CSIRT) europeos.

Medidas de Mitigación y Recomendaciones

Se recomienda a los equipos de seguridad:

– Bloquear y monitorizar accesos a IPFS y extensiones VHD desde redes corporativas.
– Actualizar reglas YARA y firmas de EDR para detectar scripts PowerShell ofuscados y actividades sospechosas de creación de tareas programadas.
– Implementar políticas de control de dispositivos y restricción de ejecución de archivos montados desde unidades virtuales.
– Realizar campañas de concienciación sobre phishing dirigidas a usuarios con acceso a sistemas críticos.
– Revisar logs de eventos de PowerShell y WMI para identificar comportamientos anómalos retrospectivamente.

En cuanto a cumplimiento normativo, la filtración de datos personales bajo esta campaña podría conllevar infracciones graves al GDPR y a la inminente directiva NIS2, reforzando la necesidad de mecanismos de alerta temprana y respuesta ágil.

Opinión de Expertos

Especialistas en análisis de amenazas, como los equipos de threat hunting de empresas líderes, han destacado la sofisticación de DEAD#VAX por su alineación con las últimas tendencias de cibercrimen: “El uso de IPFS y cargas VHD hace que la atribución y contención sean especialmente complejas. La comunidad debe fortalecer sus capacidades de threat intelligence y respuesta coordinada”, apunta Lucía Gómez, CISO de una multinacional tecnológica.

Implicaciones para Empresas y Usuarios

Para las organizaciones, DEAD#VAX evidencia la urgencia de desplegar soluciones de detección basadas en comportamiento y no solo en firmas. El uso de canales cifrados y la ejecución en memoria requiere de capacidades avanzadas de análisis de amenazas y sandboxing dinámico. Los usuarios finales, por su parte, deben extremar precauciones ante correos sospechosos y evitar la apertura de archivos VHD externos.

Conclusiones

La campaña DEAD#VAX representa un salto cualitativo en el uso de técnicas de evasión y despliegue de malware. Su combinación de ingeniería social, uso de infraestructuras descentralizadas y ejecución en memoria marca una tendencia que previsiblemente veremos replicada en futuros ataques avanzados. Las organizaciones deben reforzar su postura defensiva, invertir en threat hunting proactivo y actualizar sus procedimientos de respuesta ante incidentes para minimizar el impacto de amenazas similares.

(Fuente: feeds.feedburner.com)