Новая волна атак AsyncRAT: злоумышленники используют многослойную схему заражения через вредоносные HTML-файлы

Атака начинается с рассылки спам-сообщений, содержащих вредоносную веб-ссылку. Жертва, перейдя по ней, загружает на свое устройство HTML-файл, который, в свою очередь, содержит встроенный ISO-образ. Этот образ включает WSF-файл (Windows Script File), который служит ключевым звеном в цепочке заражения. После запуска WSF-файл устанавливает соединения с удаленными серверами и загружает дополнительные вредоносные скрипты, написанные на PowerShell, VBS (VBScript) и BAT.

Особенностью данной атаки является использование легитимных системных утилит для маскировки вредоносной активности. Так, один из скриптов внедряет вредоносный код в процесс RegSvcs.exe - официальный компонент Microsoft .NET Framework, предназначенный для регистрации сборок в системе. Поскольку этот процесс является доверенным, антивирусные решения часто не обращают на него внимания, что позволяет злоумышленникам беспрепятственно выполнять свои действия.

AsyncRAT - это мощный инструмент удаленного доступа, предоставляющий злоумышленникам практически полный контроль над зараженной системой. С его помощью можно красть конфиденциальные данные, записывать нажатия клавиш, делать скриншоты экрана и даже управлять устройствами жертв в реальном времени. Учитывая многослойность атаки и использование доверенных системных процессов, обнаружить и нейтрализовать угрозу становится крайне сложно.

Эксперты по кибербезопасности рекомендуют пользователям соблюдать повышенную осторожность при работе с электронной почтой и избегать перехода по подозрительным ссылкам. Также важно регулярно обновлять операционную систему и установленное программное обеспечение, чтобы минимизировать риски эксплуатации уязвимостей. Корпоративным пользователям следует внедрять многофакторную аутентификацию и системы мониторинга сетевой активности, способные выявлять аномальное поведение процессов.

Данная кампания демонстрирует, насколько изощренными становятся современные кибератаки. Злоумышленники активно используют социальную инженерию и сложные техники обхода защиты, что требует от компаний и частных пользователей более ответственного подхода к вопросам информационной безопасности. В ближайшее время можно ожидать дальнейшего развития подобных тактик, поэтому осведомленность и своевременное применение защитных мер остаются ключевыми факторами противодействия угрозам.

IPv4

• 45.12.253.107

URLs

• http://45.12.253.107:222/f.txt
• http://45.12.253.107:222/j.jpg

SHA256

• 0159bd243221ef7c5f392bb43643a5f73660c03dc2f74e8ba50e4aaed6c6f531
• 19402c43b620b96c53b03b5bcfeaa0e645f0eff0bc6e9d1c78747fafbbaf1807
• 1c3d5dea254506c5f7c714c0b05f6e2241a25373225a6a77929e4607eb934d08
• 34cb840b44befdd236610f103ec1d0f914528f1f256d9ab375ad43ee2887d8ce
• 83b29151a192f868362c0ecffe5c5fabe280c8baac335c79e8950fdd439e69ac
• 83c96c9853245a32042e45995ffa41393eeb9891e80ebcfb09de8fae8b5055a3
• 97f91122e541b38492ca2a7c781bb9f6b0a2e98e5b048ec291d98c273a6c3d62
• ac6c6e196c9245cefbed223a3b02d16dd806523bba4e74ab1bcf55813cc5702a
• f123c1df7d17d51115950734309644e05f3a74a5565c822f17c1ca22d62c3d99