O malware furtivo AsyncRAT ataca a infraestrutura dos EUA por 11 meses
8 de Janeiro de 2024

Uma campanha que entrega o malware AsyncRAT a alvos selecionados tem estado ativa durante pelo menos os últimos 11 meses, usando centenas de amostras únicas de carregamento e mais de 100 domínios.

AsyncRAT é uma ferramenta de acesso remoto (RAT) de código aberto para Windows, disponível publicamente desde 2019, com funções para execução de comando remoto, registro de teclas, exfiltração de dados e introdução de payloads.

A ferramenta tem sido muito usada por criminosos cibernéticos ao longo dos anos, seja em sua forma original ou modificada, para estabelecer um ponto de apoio no alvo, roubar arquivos e dados e implantar malware adicional.

O pesquisador de segurança da Microsoft, Igal Lytzki, identificou os ataques entregues por meio de threads de email sequestradas no último verão, mas não conseguiu recuperar a payload final.

Em setembro, a equipe do Alien Labs da AT&T notou "um aumento nos emails de phishing, visando indivíduos específicos em certas empresas" e começou a investigar.

Os ataques começam com um email malicioso carregando um anexo GIF que leva a um arquivo SVG que baixa um JavaScript ofuscado e scripts do PowerShell.

Após passar por algumas verificações anti-sandbox, o carregador se comunica com o servidor de comando e controle (C2) e determina se a vítima é elegível para a infecção do AsyncRAT.

Os domínios C2 codificados são hospedados no BitLaunch, um serviço que permite pagamentos anônimos em criptomoeda, uma opção útil para criminosos cibernéticos.

Se o carregador determina que está em um ambiente de análise, ele implanta payloads iscas, provavelmente na tentativa de enganar pesquisadores de segurança e ferramentas de detecção de ameaças.

O sistema anti-sandbox empregado pelo carregador envolve uma série de verificações realizadas através de comandos do PowerShell que recuperam detalhes de informações do sistema e calculam uma pontuação que indica se está rodando em uma máquina virtual.

O Alien Labs da AT&T determinou que o ator da ameaça usou 300 amostras únicas de carregamento nos últimos 11 meses, cada uma com alterações mínimas na estrutura do código, ofuscação, e nomes e valores de variáveis.

Outra observação dos pesquisadores é o uso de um algoritmo de geração de domínios (DGA) que gera novos domínios C2 todo domingo.

De acordo com as descobertas do Alien Labs da AT&T, os domínios usados na campanha seguem uma estrutura específica: estão no TLD "top", usam oito caracteres alfanuméricos aleatórios, são registrados no Nicenic.net, usam a África do Sul para o código do país, e são hospedados no DigitalOcean.

A AT&T conseguiu decifrar a lógica por trás do sistema de geração de domínios e até previu os domínios que serão gerados e atribuídos ao malware ao longo de janeiro de 2024.

Os pesquisadores não atribuíram os ataques a um adversário específico, mas observaram que esses "atores de ameaças valorizam a discrição", conforme indicado pelo esforço para ofuscar as amostras.

A equipe do Alien Labs fornece um conjunto de indicadores de comprometimento, juntamente com assinaturas para o software de análise de rede e detecção de ameaças Suricata que as empresas podem usar para detectar intrusões associadas a essa campanha AsyncRAT.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...