Известный троян-шпион AsyncRAT, который с 2019 года используется киберпреступниками для удаленного доступа к зараженным системам, теперь переписан на язык Rust. Это усложняет анализ вредоносного ПО и может свидетельствовать о растущей популярности Rust среди злоумышленников.
Описание
Изначально AsyncRAT был написан на C# и распространялся через фишинговые кампании, позволяя злоумышленникам красть данные, выполнять команды и следить за пользователями. Однако недавно исследователи обнаружили новые образцы, созданные на Rust.
Почему Rust?
Выбор Rust обусловлен несколькими факторами. Во-первых, обратная разработка Rust-библиотек пока слабо поддерживается инструментами вроде IDA Pro. Во-вторых, Rust упрощает создание кроссплатформенного вредоносного ПО. Наконец, растущая популярность языка привлекает не только легитимных разработчиков, но и киберпреступников.
Это не первый случай, когда злоумышленники используют менее распространенные языки для усложнения анализа. Ранее в ходу были Go, Nim и даже Node.js.
Функционал остался прежним
Несмотря на смену языка, Rust-версия AsyncRAT сохранила ключевые возможности. Как и в C#-версии, троян создает задание в планировщике или копирует себя во временную папку. Вредонос загружает модули из реестра, что совпадает с поведением оригинального AsyncRAT. Поддерживаются базовые функции, включая загрузку и выполнение плагинов, а также отправку системной информации.
Серверы управления и защита
Связь с серверами управления осуществляется через TLS, а адреса жестко прописаны в коде. Эксперты отмечают, что переход на Rust может осложнить детектирование и анализ AsyncRAT, поэтому компаниям стоит усилить защиту от фишинга и мониторинг подозрительной активности.
Индикаторы компрометации
Domains
- backup-tlscom.sytes.net
- magic-telecom.ddns.net
- mohsar.ddns.net
SHA256
- eb12c198fc1b6ec79ea4b457988db4478ee6bc9aca128aa24a85b76a57add459
