Новый бесфайловый AsyncRAT распространяется среди немецкоязычных пользователей через поддельное окно проверки "Я не робот". Вредоносная кампания использует технику Clickfix, при которой жертвам предлагается скопировать и выполнить вредоносный PowerShell-код, маскирующийся под проверку личности. Атака полностью обходится без записи файлов на диск, используя легитимные системные утилиты и загрузку обфусцированного C#-кода прямо в память.
Описание
После выполнения кода злоумышленники получают полный удалённый доступ к системе, включая кражу учётных данных и эксфильтрацию данных. Для обеспечения устойчивости AsyncRAT прописывает себя в реестр через ключи RunOnce, а для связи с командным сервером использует порт 4444.
Как работает атака?
Жертва попадает на поддельный сайт с капчей, где после нажатия на кнопку "Я не робот" в буфер обмена копируется вредоносная команда. Она запускает скрытый PowerShell, который загружает и выполняет обфусцированный скрипт с удалённого сервера. Скрипт, в свою очередь, декодирует и загружает в память C#-код, обеспечивая бекдор-функциональность.
Особенностью этой кампании является использование реверснутых строк и фрагментированного Base64-кодирования для усложнения анализа. Например, часть payload’а скрыта в строке, которую необходимо сначала разрезать, затем перевернуть и декодировать, чтобы получить адрес C2-сервера - namoet[.]de:4444.
Связь с AsyncRAT
Анализ техник выполнения (TTPs) подтверждает, что зловред относится к семейству AsyncRAT. Это проявляется в использовании PowerShell с параметром -w hidden для скрытия окна, загрузке C#-кода через Add-Type, а также в характерном способе установки персистентности через реестр. Кроме того, TCP-соединение на нестандартном порту 4444 соответствует поведению AsyncRAT.
Рекомендации по защите
Для противодействия подобным атакам организациям следует блокировать подозрительные PowerShell-команды, особенно с флагами, скрывающими выполнение. Также важно мониторить изменения в реестре и сканировать память на предмет признаков файловых угроз, поскольку традиционные антивирусные решения могут пропустить такие атаки.
Индикаторы компрометации
IPv4
- 109.250.108.183
- 109.250.109.205
- 109.250.109.80
- 109.250.110.140
- 109.250.110.142
- 109.250.110.190
- 109.250.110.222
- 109.250.110.228
- 109.250.110.98
- 109.250.111.155
- 109.250.111.176
- 109.250.111.186
- 109.250.111.219
- 109.250.111.75
Domains
- namoet.de
Domain Port Combinations
- namoet.de:4444
URLs
- http://namoet.de:80/x
