DEAD#VAX: nova campanha usa VHD em IPFS para espalhar AsyncRAT de forma quase invisível
Pesquisadores de segurança identificaram uma campanha de malware extremamente sigilosa, batizada de DEAD#VAX, que combina múltiplas técnicas avançadas para driblar soluções de segurança tradicionais e instalar o trojan de acesso remoto AsyncRAT nos dispositivos das vítimas. A operação chama atenção por explorar recursos totalmente legítimos do Windows, além de abusar de tecnologias descentralizadas para dificultar o bloqueio da infraestrutura maliciosa.
De acordo com a análise técnica, o diferencial da campanha está no uso de arquivos VHD (Virtual Hard Disk) armazenados na rede IPFS, uma infraestrutura descentralizada de armazenamento. Em vez de entregar um executável suspeito ou um anexo típico de malware, os atacantes distribuem um VHD que se passa por um simples documento PDF relacionado a ordens de compra. Essa abordagem reduz a chance de detecção por filtros de e-mail e por produtos de segurança que dependem principalmente de assinaturas de arquivos maliciosos.
Quando a vítima abre o suposto PDF, o Windows automaticamente monta o VHD como se fosse um disco virtual, um comportamento padrão do sistema operacional, o que torna o processo ainda mais convincente. Dentro desse volume virtual está o verdadeiro vetor de ataque: um script WSF (Windows Script File). A execução desse arquivo aciona uma cadeia de scripts em lote fortemente ofuscados, projetados para mascarar sua finalidade real e confundir mecanismos automatizados de análise.
Esses scripts iniciais são responsáveis por validar o ambiente de execução. Eles verificam, por exemplo, se o código está rodando em uma sandbox, máquina virtual de análise, ou em um sistema real de usuário. Também conferem se existem permissões adequadas para continuar a infecção. Caso detectem indícios de monitoramento ou testes de laboratório, o malware pode encerrar a execução ou alterar o comportamento para evitar a detecção e atrasar a resposta dos defensores.
Uma vez superadas as checagens de segurança, entra em cena um carregador escrito em PowerShell. Esse loader é o coração da operação: ele descriptografa o payload malicioso em tempo de execução, configura mecanismos de persistência no sistema por meio de tarefas agendadas e, na etapa final, injeta o AsyncRAT diretamente na memória de processos legítimos do Windows. Entre os alvos preferenciais dos atacantes estão processos assinados pela própria Microsoft, como RuntimeBroker.exe, OneDrive.exe, taskhostw.exe e sihost.exe.
O ponto crucial é que o malware evita ao máximo gravar artefatos maliciosos em disco. Em vez de salvar um executável descriptografado, todo o fluxo de execução ocorre na memória (técnicas conhecidas como fileless). Isso reduz dramaticamente a quantidade de evidências forenses e torna muito mais difícil para antivírus baseados em análise de arquivos identificar a ameaça. Para as equipes de resposta a incidentes, reconstruir a cadeia de ataque torna-se um desafio bem maior.
O AsyncRAT, componente final dessa cadeia, é um trojan de acesso remoto de código aberto amplamente utilizado por cibercriminosos. Uma vez instalado com sucesso, ele oferece controle praticamente total sobre o endpoint comprometido. Entre as funcionalidades estão registro de teclas digitadas (keylogging), captura de tela e de webcam, monitoramento da área de transferência, navegação pelo sistema de arquivos, execução remota de comandos, além de mecanismos de persistência que garantem que o malware continue ativo mesmo após reinicializações do sistema.
Outro ponto sofisticado da campanha DEAD#VAX é o controle rigoroso do tempo de execução. O malware intercala a execução de rotinas com intervalos de espera cuidadosamente calculados, reduzindo o consumo de CPU e evitando padrões de comportamento que poderiam ser detectados por soluções baseadas em anomalias. Ao espaçar chamadas a APIs do sistema e limitar picos de atividade, os atacantes tentam se misturar ao ruído normal do sistema operacional.
Os pesquisadores destacam que esse tipo de operação ilustra uma tendência clara no cenário atual de ameaças: o abandono do modelo antigo, baseado em um único binário malicioso facilmente identificável, em favor de cadeias em múltiplos estágios. Cada componente, quando analisado isoladamente, parece relativamente inofensivo ou até legítimo — um VHD aparentemente de negócios, scripts que usam PowerShell (amplamente utilizado por administradores), tarefas agendadas comuns no Windows. A soma desses elementos, porém, revela uma campanha altamente elaborada.
A utilização da rede IPFS adiciona outra camada de complexidade à defesa. Diferentemente de servidores tradicionais, que podem ser derrubados com bloqueios de domínio ou ações contra o provedor de hospedagem, conteúdos distribuídos em redes descentralizadas tendem a ser mais resilientes à derrubada. Isso dificulta ações reativas, como listas de bloqueio simples, e obriga equipes de segurança a focar muito mais na detecção do comportamento do malware do que na infraestrutura de comando e controle.
Do ponto de vista corporativo, a campanha DEAD#VAX evidencia como e-mails de phishing continuam sendo um dos vetores mais eficazes de ataque. Mesmo com conscientização crescente, anexos representando documentos de compra, faturas ou contratos ainda possuem alta taxa de abertura, especialmente em áreas como financeiro, compras e atendimento. A simples mudança de um anexo .exe para um VHD “travestido” de PDF já é suficiente para enganar muitos usuários e, em alguns casos, até passar por validações superficiais.
Para reduzir o risco de infecção por campanhas semelhantes, organizações precisam reforçar não apenas a educação dos usuários, mas também seus controles técnicos. Políticas que limitem a montagem automática de discos virtuais, filtros que inspecionem conteúdos de arquivos VHD e monitoramento rigoroso de scripts em PowerShell são medidas cada vez mais importantes. Além disso, investir em soluções de detecção baseadas em comportamento e em telemetria de endpoint (como EDR) torna-se essencial para identificar anomalias em processos legítimos, como o uso suspeito de RuntimeBroker.exe ou OneDrive.exe.
Equipes de defesa também devem revisar rotineiramente tarefas agendadas no ambiente, buscando entradas suspeitas ou recém-criadas que apontem para scripts pouco convencionais. Como a persistência por meio do agendador de tarefas é um dos pilares da campanha DEAD#VAX, auditorias periódicas podem revelar indícios de comprometimento que passariam despercebidos em uma análise apenas de arquivos em disco.
Outro aspecto crítico é a necessidade de amadurecer a capacidade de resposta a incidentes em ambientes onde predominam ameaças fileless. Isso inclui o uso intensivo de logs de eventos, captura de memória (quando possível) para análise profunda e correlação entre múltiplas fontes de dados. Sem essa visão integrada, campanhas como a DEAD#VAX conseguem operar por longos períodos sem serem notadas, explorando justamente as lacunas entre os diferentes silos de segurança.
Por fim, a popularidade de ferramentas de código aberto como o AsyncRAT reforça um dilema recorrente na cibersegurança: softwares originalmente criados para testes ou administração remota acabam sendo amplamente reaproveitados por criminosos. Isso reduz o custo de desenvolvimento para os atacantes e ainda lhes fornece uma base de código madura, com recursos robustos e atualizações constantes. Para os defensores, o desafio é distinguir o uso legítimo do malicioso, o que demanda contexto, inteligência e controles de acesso bem definidos.
A campanha DEAD#VAX, portanto, não é apenas mais um caso de distribuição de RATs, mas um exemplo concreto de como o ecossistema de ameaças está evoluindo para se apoiar em infraestruturas descentralizadas, técnicas fileless e abuso criativo de funcionalidades legítimas do sistema operacional. Organizações que desejam reduzir sua superfície de ataque precisam acompanhar essa evolução, revisando políticas, fortalecendo monitoramentos e investindo em detecção baseada em comportamento e em resposta rápida a incidentes.