VOID#GEIST programari maliciós

Investigadors de ciberseguretat han descobert una sofisticada campanya de programari maliciós de diverses etapes que es basa en scripts per lots per lliurar càrregues útils xifrades de troians d'accés remot (RAT). La campanya, identificada com a VOID#GEIST, implementa diverses famílies de RAT, com ara XWorm, AsyncRAT i Xeno RAT.

La cadena d'atac aprofita un script de lots ofuscat que inicia una seqüència d'accions dissenyades per evadir la detecció. Aquestes accions inclouen l'inici d'un script de lots addicional, la preparació d'un entorn d'execució de Python integrat legítim i el desxifrat de càrregues útils de shellcode xifrades. El shellcode s'executa directament a la memòria després d'injectar-se en instàncies separades del procés de Windows explorer.exe mitjançant una tècnica coneguda com a injecció de crida de procediment asíncrona Early Bird (APC).

Lliurament de programari maliciós basat en scripts: un model d’amenaces modern

Els actors d'amenaces moderns estan abandonant cada cop més el programari maliciós executable autònom tradicional en favor de marcs de lliurament basats en capes i scripts que imiten el comportament legítim dels usuaris. En lloc de desplegar binaris Portable Executable (PE) convencionals, els atacants orquestren pipelines multicomponent que combinen diverses tecnologies i entorns de scripts legítims.

Els components típics utilitzats dins d'aquests marcs de treball inclouen:

• Scripts per lots utilitzats per orquestrar la seqüència d'infecció.
• Ordres de PowerShell que faciliten la posada en escena discreta de la càrrega útil.
• Temps d'execució legítims integrats que garanteixen la portabilitat entre sistemes.
• Codi shell cru executat directament a la memòria per mantenir la persistència i el control.

Aquest enfocament d'execució sense fitxers redueix significativament les oportunitats de detecció basada en disc. Cada etapa individual sembla relativament inofensiva quan s'examina de forma independent i sovint s'assembla a una activitat administrativa rutinària, cosa que permet als actors amenaçadors operar dins d'entorns compromesos sense generar alertes de seguretat immediates.

Accés inicial a través de phishing i infraestructura de Cloudflare

El punt d'entrada de l'atac comença amb un script per lots maliciós enviat a través de correus electrònics de phishing. L'script es recupera de la infraestructura allotjada en un domini TryCloudflare. Un cop executat, l'script evita deliberadament els intents d'escalada de privilegis i, en canvi, opera estrictament dins dels límits de permisos de l'usuari que ha iniciat la sessió actualment.

Aquesta estratègia permet que el programari maliciós estableixi el seu punt de suport inicial mentre s'integra en les operacions rutinàries a nivell d'usuari. En evitar accions que requereixen privilegis elevats, l'atac redueix la probabilitat de desencadenar avisos de seguretat o sol·licituds administratives.

Tècniques de distracció visual i execució furtiva

Després de l'execució, la primera fase del programari maliciós llança un document esquer per distreure la víctima. Google Chrome s'obre en mode de pantalla completa per mostrar un document financer o una factura presentada com a PDF. Mentre l'usuari es concentra en el document, l'activitat maliciosa continua en segon pla.

Simultàniament, s'executa una ordre de PowerShell per rellançar l'script original per lots amb paràmetres d'execució ocults. L'ús del paràmetre -WindowStyle Hidden impedeix que aparegui una finestra de consola visible, garantint que l'activitat maliciosa romangui oculta a l'usuari.

Persistència mitjançant l’execució d’inici a nivell d’usuari

Per mantenir la persistència després de reiniciar el sistema, el programari maliciós implementa un script auxiliar per lots al directori d'inici de l'usuari de Windows. Aquesta ubicació garanteix que l'script s'executi automàticament cada vegada que la víctima inicia la sessió al sistema.

Aquest mecanisme de persistència és intencionadament subtil. En lloc d'utilitzar tècniques més intrusives com ara la modificació de les claus del registre del sistema, la creació de tasques programades o la instal·lació de serveis, el programari maliciós es basa exclusivament en el comportament estàndard d'inici a nivell d'usuari. Com que l'enfocament funciona completament dins del context dels privilegis de l'usuari actual, evita activar sol·licituds d'escalada de privilegis i redueix la probabilitat de detecció per part d'eines de supervisió del registre.

Marc de recuperació i desxifratge de càrrega útil

Durant la següent etapa de la cadena d'infecció, el programari maliciós contacta amb un domini TryCloudflare per recuperar components de càrrega útil addicionals empaquetats en arxius ZIP. Aquests arxius contenen els mòduls necessaris per desxifrar i executar les càrregues útils finals del programari maliciós.

L'arxiu descarregat normalment conté els components següents:

• runn.py – un carregador basat en Python responsable de desxifrar i injectar mòduls de shellcode xifrats a la memòria
• new.bin – càrrega útil de shellcode xifrat associada amb XWorm
• xn.bin – càrrega útil de shellcode xifrat corresponent a Xeno RAT
• pul.bin – càrrega útil de codi shell xifrat corresponent a AsyncRAT
• a.json, n.json i p.json: fitxers clau utilitzats pel carregador de Python per desxifrar les càrregues útils de shellcode dinàmicament durant l'execució.

Aquest disseny modular permet als atacants organitzar diferents càrregues útils de manera independent i activar-les només quan calgui.

Temps d’execució de Python integrat per a portabilitat i ocultació

Un cop extret l'arxiu, el programari maliciós desplega un temps d'execució de Python incrustat legítim obtingut directament de python.org. La incrustació d'un intèrpret legítim elimina la dependència de qualsevol instal·lació de Python que ja pugui existir al sistema compromès.

Des de la perspectiva d'un atacant, aquest pas ofereix diversos avantatges estratègics. El programari maliciós es converteix en un entorn d'execució autònom capaç de desxifrar i injectar càrregues útils sense necessitat de dependències externes. Això millora la portabilitat entre diferents sistemes, augmenta la fiabilitat i contribueix al sigil operatiu mitjançant l'ús de components de programari legítims.

Execució en memòria de múltiples càrregues útils RAT

El temps d'execució de Python incrustat s'utilitza per executar l'script del carregador runn.py. El carregador desxifra el codi shell associat amb XWorm i l'injecta en una instància en execució d'explorer.exe mitjançant la injecció Early Bird APC.

Per implementar Xeno RAT, el programari maliciós aprofita un binari legítim de Microsoft anomenat AppInstallerPythonRedirector.exe, que s'utilitza per invocar Python i executar els components necessaris. Posteriorment, es reutilitza la mateixa tècnica d'injecció per implementar AsyncRAT, garantint que totes les càrregues útils s'executin completament a la memòria sense deixar artefactes executables tradicionals al disc.

Balises de comandament i control i arquitectura modular

La fase final de l'atac consisteix a enviar una balisa HTTP mínima a la infraestructura de comandament i control (C2) controlada per l'atacant allotjada a TryCloudflare. Aquesta balisa confirma que el sistema ha estat compromès correctament i està preparat per rebre més instruccions.

Tot i que els objectius específics de la campanya continuen sent desconeguts, la cadena d'infecció demostra una arquitectura altament modular. En lloc de desplegar una única gran càrrega de programari maliciós, els atacants introdueixen components de manera incremental en múltiples etapes. Aquest disseny millora la flexibilitat i la resiliència operatives.

Des d'una perspectiva de detecció, emergeix un indicador de comportament notable durant tota la campanya: la injecció repetida de processos a explorer.exe en intervals de temps curts. Aquest patró pot servir com un senyal fort per als defensors que intenten correlacionar l'activitat sospitosa en diferents etapes del cicle de vida de l'atac.