Pesquisadores de cibersegurança mapearam a evolução de um trojan de acesso remoto amplamente utilizado chamado AsyncRAT, lançado pela primeira vez no GitHub em janeiro de 2019 e que desde então serviu como base para várias outras variantes.
"O AsyncRAT consolidou seu lugar como uma pedra angular do malware moderno e como uma ameaça pervasiva que evoluiu para uma vasta rede de forks e variantes", disse o pesquisador da ESET, Nikola Knežević, em um relatório compartilhado com o site The Hacker News.
"Embora suas capacidades não sejam tão impressionantes por si só, é a natureza open-source do AsyncRAT que realmente ampliou seu impacto.
Sua arquitetura baseada em plug-ins e facilidade de modificação estimularam a proliferação de muitos forks, ampliando ainda mais os limites." A evolução do AsyncRAT destaca sua adaptabilidade técnica, mas seu impacto no mundo real decorre de como é implantado em campanhas de phishing oportunísticas e associado a loaders como GuLoader ou SmokeLoader.
Esses métodos de entrega permitem distribuição rápida por meio de software crackeado, anúncios maliciosos ou atualizações falsas, visando usuários em ambientes corporativos e de consumo.
Sem detecção precoce, o AsyncRAT muitas vezes atua como uma ferramenta de preparação para payloads úteis subsequentes como ransomware ou ladrões de credenciais.
Publicado inicialmente no GitHub por NYAN CAT, o malware baseado em C# está equipado para capturar capturas de tela, registrar teclas digitadas, roubar credenciais e permitir que atacantes comandem sistemas infectados de forma furtiva, exfiltrem dados e executem instruções maliciosas.
A simplicidade da ferramenta modular e sua natureza open-source, juntamente com sua arquitetura modular e recursos de furtividade aprimorados, não só a tornaram muito adaptável e mais difícil de detectar, mas também uma opção atraente para os atores de ameaças, conforme evidenciado pelas miríades de campanhas distribuindo a ameaça ao longo dos anos.
A empresa eslovaca de cibersegurança disse que o "trabalho preliminar" para o AsyncRAT foi estabelecido anteriormente por outro RAT open-source conhecido como Quasar RAT (também conhecido como CinaRAT ou Yggdrasil) que está disponível no GitHub desde 2015.
Embora ambas as cepas de malware sejam codificadas em C#, as amplas diferenças entre elas sugerem que o AsyncRAT foi muito mais do que um fork: Foi uma reescrita importante.
Os dois malwares são unidos pelo uso das mesmas classes de criptografia personalizadas usadas para descriptografar as configurações do malware.
Desde o lançamento do AsyncRAT, o malware gerou variantes diversas, incluindo DCRat (também conhecido como DarkCrystal RAT) e Venom RAT.
DCRat marca uma significativa melhoria em relação ao AsyncRAT, embalando técnicas de evasão para passar despercebido e ampliando suas capacidades para coletar dados da webcam, gravações de microfone e tokens do Discord, além até mesmo de um módulo para criptografar arquivos.
"O DCRat também implementa técnicas de evasão como patching de AMSI e ETW, que funcionam desativando recursos de segurança que detectam e registram comportamento malicioso", disse a ESET.
Além disso, ele apresenta um sistema anti-processo pelo qual processos cujos nomes coincidem com os de uma lista de negação são terminados.
O Venom RAT, por outro lado, teria sido inspirado pelo DCRat, embalando também recursos únicos suficientes.
"Embora de fato pertençam à família Quasar RAT, ainda são RATs diferentes", observou a pesquisadora da Rapid7, Anna Širokova, em uma análise do AsyncRAT e Venom RAT em novembro de 2024.
O Venom RAT apresenta técnicas de evasão mais avançadas, tornando-o uma ameaça mais sofisticada.
A ESET disse também ter identificado variantes menos conhecidas do AsyncRAT, como o NonEuclid RAT, que incorpora plug-ins para força bruta em credenciais SSH e FTP, coleta de geolocalização, atua como um clipper substituindo dados da área de transferência com os endereços da carteira de criptomoedas do atacante, e até mesmo espalha o malware comprometendo arquivos executáveis portáteis com um payload útil arbitrário.
O JasonRAT, por sua vez, introduz mudanças próprias, como a capacidade de visar sistemas baseados no país.
Da mesma forma, o XieBroRAT possui um ladrão de credenciais de navegador e um plug-in para interagir com servidores Cobalt Strike por meio de uma conexão reversa.
Também é adaptado para o mercado chinês.
"A ascensão do AsyncRAT e seus subsequentes forks destacam os riscos inerentes dos frameworks de malware de código aberto", disse a ESET.
Todos esses forks não apenas estendem as capacidades técnicas do AsyncRAT, mas também demonstram como os atores de ameaças podem adaptar e repor rapidamente o código de código aberto.
A disponibilidade generalizada de tais frameworks reduz significativamente a barreira de entrada para cibercriminosos aspirantes, permitindo até mesmo novatos implantar malware sofisticado com esforço mínimo.
Essa democratização do desenvolvimento de malware – especialmente considerando o aumento da popularidade dos Modelos de Linguagem de Grande Escala (LLMs) e o potencial para o abuso de suas capacidades – acelera ainda mais a criação e customização de ferramentas maliciosas, contribuindo para uma paisagem de ameaças que está se expandindo rapidamente e se tornando cada vez mais complexa.
Essa mudança também impulsionou o crescimento do malware-as-a-service (MaaS), onde construtores AsyncRAT pré-configurados e módulos plug-and-play são vendidos abertamente no Telegram e em fóruns na dark web.
A crescente sobreposição entre malware de código aberto, ferramentas de teste de penetração e frameworks comerciais de acesso remoto complica a atribuição e a defesa.
Para as equipes de segurança, isso significa maior foco na detecção comportamental, análise de command-and-control (C2) e compreensão de como persistência sem arquivo, sequestro de área de transferência e roubo de credenciais convergem em campanhas de malware modernas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...