27 мая 2025 года итальянский CERT-AGID зафиксировал активную фишинговую кампанию, направленную на заражение систем вредоносным ПО AsyncRAT. Злоумышленники рассылали письма на английском языке, маскируясь под арабскую строительную компанию "Arabian Construction Co". В сообщении получателя уведомляли о том, что он был выбран в качестве потенциального поставщика, и предлагали перейти по ссылке для получения детальной информации.
Описание
Вместо вложения в письме содержалась ссылка на файл TAR, размещенный на платформе Box.com. В архиве находился замаскированный JavaScript, который запускал PowerShell-скрипт для загрузки вредоносного кода с облачного хранилища Aruba Drive. Однако финальная стадия заражения оказалась сложнее: зловред скрывался внутри GIF-изображения, где был закодирован в Base64 между тегами <<sudo_png>> и <<sudo_odt>>. После декодирования извлекалась DLL, которая проверяла окружение (включая наличие виртуальной машины) и загружала финальную полезную нагрузку - AsyncRAT.
AsyncRAT - это троян удаленного доступа, позволяющий злоумышленникам контролировать зараженные системы, красть конфиденциальные данные и выполнять произвольные команды. Интересно, что та же GIF-техника ранее использовалась для распространения других вредоносных программ, включая Remcos, Formbook, Avemaria и MassLogger. Эксперты рекомендуют проявлять осторожность при работе с подозрительными ссылками и файлами, особенно если они поступают от неизвестных отправителей.
Индикаторы компрометации
Domains
- qatar.uhdengine.com
URLs
- https://app.box.com/s/blzxmrxs5qorc4rq4k1xone2v7dngvh7
- https://webmail.aruba.it/smart/cgi-bin/ajaxfile?ACT_FIL_DL=1&PUBLICUID=@1.VFMxM0RLUmlpak5VUCt4RkdEU3luR3VzRmxneHAzUStkTzBJZythWmhBYUx6djNYVzBsV1NFYVlDNmp5b3NwMA==
- https://webmailssl.it/newuismart/cgi-bin/ajaxfile?ACT_FIL_DL=1&PUBLICUID=@1.cW1Fb1dySVlyWE43VkZOVU5vSWFINFhrM1ZKbWh4RTJhU3JhSjI0dzlxdFdzcjdleDlqeEdFNUFDRW5MaWRXQg==
MD5
- 05ae14662e430a02e0661e2795924592
- 1b35b016afd3f509d2fc128ab5bd653b
- 2d0418fcccfd455cf2deed0c3f6f4a11
- 2e17d5d22ad14b8485ea582683410f58
- 3232829b5552410d367ad0492f497c34
- 8c66d9087118b17ccaa62eb83f3542c1
SHA1
- 1801a7008ab43fcbd8f9fcc6c0f16e1e41823d4b
- 4cb655ecb0e5ecbaaece2083b17558f409939c07
- 8bbac4900befa788db40a4994e857f84a210ff45
- af8a4dd9e1f6a8033ac5c1668c11d050575b5a4c
- b2dad4b37cbf9adb172f7ff14d9e5f450f0c8523
- be787e569b4fbb1a95d02c5c482a36aebb8ea17d
SHA256
- 1581122a1cfb429f502a4b940b43ee48a68137a2ac93b15566f488f8a7ed7209
- 392e49c412b4a68db7142bd976b4d96a89cc0443656b2231e5ed4a1af372e87f
- 3fe29a8c7d70e095044e6153555be8e3ab126e3cc1896e595b6b8450d8bffca4
- b0d737272f60ab3d402f8019678e9a39ba9c156afaac53f9cf375f23a1da9b97
- c44bac8b66ad11756b4c5ff3b1cd7e1187c634088f9e7aa2250067033df24e8d
- e61e2ad639c8156f8e10ba5d91b7c364091163d15fca4ef15d71e3d56411ea5b
