Fileless malware: oude trucs voor nieuwe aanvallen

In dit artikel:

LevelBlue’s SOC publiceert een rapport over een moderne fileless aanval die AsyncRAT inzet via een gemanipuleerde RMM-tool. Aanvallers misbruikten de legitieme ScreenConnect-software door een vergiftigde installatie te verspreiden; die bevatte een VBScript- en PowerShell-loader die kwaadaardige componenten rechtstreeks in het geheugen laadde. Daardoor verschenen vrijwel geen sospechte bestanden op schijf: alleen VBS-scripts werden achtergelaten, terwijl de effectieve payloads in RAM draaiden.

AsyncRAT, een veelgebruikt Malware‑as‑a‑Service‑product dat vooral op Amerikaanse kritieke infrastructuur wordt ingezet, was gericht op het stelen van wachtwoorden en cryptowallets — een duidelijk financieel motief. Voor persistentie gebruikt de campagne een versleutelde string die tijdens runtime ontsleutelt en de malware opdracht geeft zichzelf desgewenst te herinstalleren; hiervoor werd een malafide “Skype Updater” als dekmantel gebruikt en %AppData% als schuilplaats.

LevelBlue ontleedt in detail de loader en de RAT en identificeert daarbij niet alleen gebruikte C2-domeinen, maar ook herkenbare gedragskenmerken van de misbruikte ScreenConnect-implementatie. Die inzichten kunnen defenders helpen: monitoring van geheugenactiviteiten, het onderscheiden van ongewone RMM-gedragingen en blokkeren van bekende C2-adressen verbeteren detectie en terugdringen van dit type fileless dreigingen.