Uma campanha que entrega o malware AsyncRAT a alvos selecionados tem estado ativa durante pelo menos os últimos 11 meses, usando centenas de amostras únicas de carregamento e mais de 100 domínios.
AsyncRAT é uma ferramenta de acesso remoto (RAT) de código aberto para Windows, disponível publicamente desde 2019, com funções para execução de comando remoto, registro de teclas, exfiltração de dados e introdução de payloads.
A ferramenta tem sido muito usada por criminosos cibernéticos ao longo dos anos, seja em sua forma original ou modificada, para estabelecer um ponto de apoio no alvo, roubar arquivos e dados e implantar malware adicional.
O pesquisador de segurança da Microsoft, Igal Lytzki, identificou os ataques entregues por meio de threads de email sequestradas no último verão, mas não conseguiu recuperar a payload final.
Em setembro, a equipe do Alien Labs da AT&T notou "um aumento nos emails de phishing, visando indivíduos específicos em certas empresas" e começou a investigar.
Os ataques começam com um email malicioso carregando um anexo GIF que leva a um arquivo SVG que baixa um JavaScript ofuscado e scripts do PowerShell.
Após passar por algumas verificações anti-sandbox, o carregador se comunica com o servidor de comando e controle (C2) e determina se a vítima é elegível para a infecção do AsyncRAT.
Os domínios C2 codificados são hospedados no BitLaunch, um serviço que permite pagamentos anônimos em criptomoeda, uma opção útil para criminosos cibernéticos.
Se o carregador determina que está em um ambiente de análise, ele implanta payloads iscas, provavelmente na tentativa de enganar pesquisadores de segurança e ferramentas de detecção de ameaças.
O sistema anti-sandbox empregado pelo carregador envolve uma série de verificações realizadas através de comandos do PowerShell que recuperam detalhes de informações do sistema e calculam uma pontuação que indica se está rodando em uma máquina virtual.
O Alien Labs da AT&T determinou que o ator da ameaça usou 300 amostras únicas de carregamento nos últimos 11 meses, cada uma com alterações mínimas na estrutura do código, ofuscação, e nomes e valores de variáveis.
Outra observação dos pesquisadores é o uso de um algoritmo de geração de domínios (DGA) que gera novos domínios C2 todo domingo.
De acordo com as descobertas do Alien Labs da AT&T, os domínios usados na campanha seguem uma estrutura específica: estão no TLD "top", usam oito caracteres alfanuméricos aleatórios, são registrados no Nicenic.net, usam a África do Sul para o código do país, e são hospedados no DigitalOcean.
A AT&T conseguiu decifrar a lógica por trás do sistema de geração de domínios e até previu os domínios que serão gerados e atribuídos ao malware ao longo de janeiro de 2024.
Os pesquisadores não atribuíram os ataques a um adversário específico, mas observaram que esses "atores de ameaças valorizam a discrição", conforme indicado pelo esforço para ofuscar as amostras.
A equipe do Alien Labs fornece um conjunto de indicadores de comprometimento, juntamente com assinaturas para o software de análise de rede e detecção de ameaças Suricata que as empresas podem usar para detectar intrusões associadas a essa campanha AsyncRAT.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...