Hackers contra el aburrimiento: ¿para qué montar una cadena de diez scripts si basta con enviar un disco virtual?
Nunca había sido tan caro confiar en el correo entrante.
La campaña maliciosa «Dead#Vax» muestra cómo los atacantes cada vez más evaden las defensas no aprovechando vulnerabilidades raras, sino mediante cadenas que combinan formatos habituales e herramientas integradas de Windows. En un análisis reciente, el equipo de Securonix describió el ataque, en el que la carga maliciosa apenas deja rastros en el disco y se despliega en memoria, haciéndose pasar por procesos ordinarios.
Según Securonix, la infección comienza con un correo de phishing estilizado como una comunicación comercial del proveedor Progressive Components. El mensaje utiliza la suplantación de la dirección visible y un enlace a un archivo que se presenta como documento, pero que en realidad es un contenedor de disco virtual VHD alojado a través de una pasarela IPFS. Este método ayuda a pasar las comprobaciones del correo y reduce sospechas, y los archivos dentro del disco montado no reciben la etiqueta «Mark-of-the-Web», por lo que Windows los trata como locales.
Tras montar el VHD, a la víctima se le muestra un archivo con doble extensión, disfrazado de PDF pero en formato WSF. El script lanza la siguiente etapa y extrae un archivo por lotes cuya contenido se ensambla a partir de fragmentos y se descifra solo durante la ejecución. A continuación entra en funcionamiento un código por lotes muy ofuscado, que sustituye miles de variables, comprueba el entorno en busca de señales de análisis y virtualización, y luego lee su propio archivo para extraer un bloque cifrado oculto al final.
La característica clave de la cadena es que las acciones posteriores se realizan mediante PowerShell sin guardar el archivo ejecutable descifrado en disco. La carga final se entrega como un shellcode x64 cifrado, que se inyecta en procesos de confianza firmados por Microsoft mediante llamadas Win32 estándar. El informe también menciona el marcador «DE AD BE CA FE BA EF», que se usa para evitar la reinyección en un proceso ya comprometido y ayuda a mantener la estabilidad del ataque.
El análisis dinámico citado por Securonix mostró que el componente final es AsyncRAT —una herramienta de administración remota apta para el control encubierto a largo plazo, la vigilancia y acciones posteriores en la red. Como medidas de protección, los autores recomiendan prestar más atención a los enlaces a imágenes de disco como VHD y activar la visualización de las extensiones de archivo, además de reforzar la monitorización de scripts y de los eventos de inyección de código en procesos a nivel de registro y telemetría.