تمت ملاحظة هجوم تصيد جديد ومتطور يقدم حصان طروادة AsyncRAT كجزء من حملة برمجيات خبيثة يُعتقد أنها بدأت في سبتمبر 2021.
"من خلال أسلوب بسيط للتصيد الاحتيالي عبر البريد الإلكتروني مع مرفق html ، يقدم مهاجمو التهديد AsyncRAT (حصان طروادة للوصول عن بُعد) مصمم لمراقبة أجهزة الكمبيوتر المصابة والتحكم فيها عن بُعد من خلال اتصال آمن ومشفّر" ، كما قال مايكل ديريفياشكين ، باحث أمني في شركة منع الاختراق المؤسسي مورفيسيك ، محمد في تقرير.
تبدأ التدخلات برسالة بريد إلكتروني تحتوي على مرفق HTML متخفي كإيصال لتأكيد الطلب (على سبيل المثال ، إيصال- .لغة البرمجة). يؤدي فتح ملف الطعم إلى إعادة توجيه مستلم الرسالة إلى صفحة ويب تطالب المستخدم بحفظ ملف ISO.
ولكن على عكس الهجمات الأخرى التي توجه الضحية إلى مجال تصيد تم إعداده صراحة لتنزيل المرحلة التالية من البرامج الضارة ، تستخدم أحدث حملة RAT بذكاء JavaScript لإنشاء ملف ISO محليًا من سلسلة مشفرة Base64 وتقليد عملية التنزيل.
أوضح Dereviashkin أن "تنزيل ISO لا يتم إنشاؤه من خادم بعيد ولكن من داخل متصفح الضحية بواسطة رمز JavaScript مضمن داخل ملف إيصال HTML".
عندما تفتح الضحية ملف ISO ، يتم تثبيته تلقائيًا كمحرك أقراص DVD على مضيف Windows ويتضمن إما ملف BAT أو .VBS ، والذي يواصل سلسلة العدوى لاسترداد مكون المرحلة التالية عبر تنفيذ أمر PowerShell.
ينتج عن هذا تنفيذ وحدة .NET النمطية في الذاكرة والتي تعمل لاحقًا كقطارة لثلاثة ملفات - أحدها يعمل كمحفز للثاني - لتقديم AsyncRAT أخيرًا باعتباره الحمولة النهائية ، مع التحقق أيضًا من برنامج مكافحة الفيروسات والإعداد استثناءات Windows Defender.
عادةً ما تُستخدم RATs مثل AsyncRAT لإنشاء رابط عن بُعد بين ممثل التهديد وجهاز الضحية ، وسرقة المعلومات ، وإجراء المراقبة من خلال الميكروفونات والكاميرات. إنها توفر مجموعة من الإمكانات المتقدمة التي تمنح المهاجمين القدرة على مراقبة الأجهزة المخترقة والتحكم فيها بشكل كامل.
وأشار مورفيسيك أيضًا إلى التكتيكات المتقدمة للحملة ، والتي قالت إنها سمحت للبرامج الضارة بالمرور عمليا لم يتم اكتشافه من قبل معظم محركات مكافحة البرامج الضارة على الرغم من أن العملية سارية المفعول لما يقرب من خمسة أشهر.
