Кибератака в Италии: AsyncRAT распространяется через стеганографию в GIF-файлах

Механизм атаки

В письме нет вложений, но есть ссылка на Box.com, ведущая к архиву TAR с вредоносным JavaScript. Этот скрипт запускает PowerShell-код, который загружает файл с облачного хранилища Aruba Drive. Далее извлекается GIF-изображение, внутри которого скрыт Base64-код между тегами <<sudo_png>> и <<sudo_odt>>. После декодирования злоумышленники получают DLL, проверяющую систему на наличие виртуальных машин, и в конечном итоге загружают AsyncRAT.

Чем опасен AsyncRAT?

Этот троян позволяет злоумышленникам удаленно управлять зараженным устройством: красть данные, выполнять команды и следить за действиями пользователя. Исследователи также обнаружили, что тот же GIF использовался для распространения других вредоносных программ, включая Remcos, Formbook, Avemaria и MassLogger.
Рекомендации по безопасности

Domains

• async.uhdengine.com

URLs

• https://app.box.com/s/vc7z4gxnvccmelv208zj0ns9jz5xjcb5
• https://webmail.aruba.it/smart/cgi-bin/ajaxfile?ACT_FIL_DL=1&PUBLICUID=@1.VFMxM0RLUmlpak5VUCt4RkdEU3luR3VzRmxneHAzUStkTzBJZythWmhBYXR2Rng3R2dCNVl5V3djYTBnV0luVA==
• https://webmailssl.it/newuismart/cgi-bin/ajaxfile?ACT_FIL_DL=1&PUBLICUID=@1.cW1Fb1dySVlyWE43VkZOVU5vSWFIL1ByYVlVUzlMWmgyYzZXVEZVNWRQZEZGbHcwQlRwZnd6TU9wTjJpWS9QVg==

MD5

• 1feae1de51430ceb5653c9fc4b388c3c
• 6ca428dc9a26161fad5cdffec6e796be
• 881f55b56d9ea92a3687e620b0b0a362
• f98625a89951046efc7aee66df1a4b63

SHA1

• 6eda75891cac42e0a39c91747564f3b0543d6d4a
• 8c6073610d6ad143fa05d45c492d992853fb8a84
• c09b3bd98e4c0c50c7f97f24768327643d07c208
• e4feb835024ce2e25cfe40e127da5e712ea0fee8

SHA256

• 6d51f07a0b526b6c49d3414ec7401dab24c127c33f8e13fa96910ce912e28c3a
• 720508604758e8727e96b1c80087acf11f6d3beb4db858eefef9f8d24c10cdf2
• b8baec1c89e90b2d9a0f2932525c51eebcfef34bfd2aa08e86995beec5e419f3
• f25a8cfe62801f20cbd5904e9d75a1fde5c747ef961166500beb0d06c014ec6e