AsyncRAT Remote Access Trojan

AsyncRAT - это RAT, который может контролировать и удаленно управлять зараженными системами. Эта вредоносная программа была представлена на Github как легитимное программное обеспечение для удаленного администрирования с открытым исходным кодом, но хакеры используют ее для множества мощных вредоносных функций.

Что такое вредоносная программа AsyncRAT

В 2019 и 2020 годах исследователи наблюдали первые кампании, распространяющие AsyncRAT. Модифицированная версия вредоносной программы появлялась в спам-рассылках с упоминанием пандемии Ковид-19. В другой тактике злоумышленники выдавали себя за местные банки и правоохранительные органы. Вредоносная программа набирала популярность и в конце 2020 года появилась в многочисленных темах на китайских подпольных форумах.

В 2021 году AsyncRAT был замечен в фишинговой кампании под названием Operation Spalax. В другом инциденте он был сброшен загрузчиком HCrypt. Вскоре после этого исследователи увидели первый штамм AsyncRAT, загружающийся с помощью VBScripts. А в 2022 году появилась сильно модифицированная версия вредоносной программы, которая распространялась в ходе фишинговой кампании с использованием вложения, загружающего файлы ISO. Этот штамм мог обойти большинство мер безопасности.

Из-за открытого исходного кода этой вредоносной программы злоумышленники разработали множество модификаций AsyncRAT на протяжении всего периода ее существования. В 2022 году исследователи обнаружили новый вариант, который может распространяться в бесфайловой форме. Предполагается, что он распространяется через электронную почту с помощью вложений сжатых файлов.

AsyncRAT в основном заражает жертв в сфере информационных технологий, гостиничного бизнеса и транспорта в Северной, Южной и Центральной Америке, хотя его распространение не ограничивается этими регионами. Пользователи RAT стремятся украсть личные данные или банковские реквизиты и использовать их в качестве рычага для требования выкупа.

Процесс выполнения AsyncRAT

Как и любая другая вредоносная программа, процесс выполнения AsyncRAT может варьироваться и изменяться со временем и версиями. Как уже упоминалось, его происхождение с открытым исходным кодом позволяет легко изменять его функциональность. Процесс выполнения прост и понятен, как и у многих других вредоносных программ. Этот RAT может создавать только один процесс на зараженной системе или заражать системные процессы.

Распространение AsyncRAT

AsyncRAT использует несколько методов распространения. Обычно он распространяется с кампаниями спама по электронной почте в виде вредоносных вложений или через зараженную рекламу на скомпрометированных веб-сайтах. Иногда RAT подбрасывается другими вредоносными программами, которые сначала заражают систему через VBS-скрипт. Отдел анализа угроз также предупредил, что он может попасть в систему через наборы эксплойтов.

Заключение

Трудно сказать, был ли первоначальный выпуск AsyncRAT задуман как безобидный инструмент удаленного администрирования. В примечаниях утверждается, что он был разработан в образовательных целях. Но не исключено, что создатель просто нашел ловкий способ сбыта вредоносного ПО на легитимном сайте.

Независимо от намерений, код, загруженный на GitHub, уже имел достаточно вредоносных возможностей, чтобы причинить денежные убытки организациям. С тех пор он был сильно модифицирован для поддержки бесчисленных методов распространения, включая безфайловую доставку, что делает этот RAT очень опасным.

Поделиться с друзьями
SEC-1275-1