Zephyrnet-logo

Hackers gebruiken nieuwe ontwijkingstechniek om asyncRAT-malware af te leveren

Datum:

AsyncRAT-malware

Er is een nieuwe, geavanceerde phishing-aanval waargenomen die de AsyncRAT-trojan aflevert als onderdeel van een malwarecampagne waarvan wordt aangenomen dat deze in september 2021 is begonnen.

"Via een eenvoudige phishing-tactiek via e-mail met een HTML-bijlage, leveren aanvallers AsyncRAT (een trojan voor externe toegang) die is ontworpen om de geïnfecteerde computers op afstand te bewaken en te besturen via een veilige, versleutelde verbinding", zegt Michael Dereviashkin, beveiligingsonderzoeker bij het bedrijf voor het voorkomen van bedrijfsinbreuken. Morphisec, zei in een rapport.

Automatische GitHub-back-ups

De inbreuken beginnen met een e-mailbericht met een HTML-bijlage die is vermomd als een ontvangstbevestiging van de bestelling (bijv. Ontvangst- .html). Door het lokbestand te openen, wordt de ontvanger van het bericht omgeleid naar een webpagina waarin de gebruiker wordt gevraagd een ISO-bestand op te slaan.

Maar in tegenstelling tot andere aanvallen die het slachtoffer naar een phishing-domein leiden dat expliciet is ingesteld voor het downloaden van de next-stage malware, maakt de nieuwste RAT-campagne slim gebruik van JavaScript om het ISO-bestand lokaal te maken van een Base64-gecodeerde string en het downloadproces na te bootsen.

AsyncRAT-malware

"De ISO-download wordt niet gegenereerd vanaf een externe server, maar vanuit de browser van het slachtoffer door een JavaScript-code die is ingebed in het HTML-ontvangstbestand", legt Dereviashkin uit.

Wanneer het slachtoffer het ISO-bestand opent, wordt het automatisch gemount als een dvd-station op de Windows-host en bevat het een .BAT- of een .VBS-bestand, dat de infectieketen voortzet om een ​​component in de volgende fase op te halen via een PowerShell-opdrachtuitvoering.

Dit resulteert in de uitvoering van een .NET-module in het geheugen die vervolgens fungeert als een druppelaar voor drie bestanden - één fungeert als een trigger voor de volgende - om uiteindelijk AsyncRAT als de laatste payload te leveren, terwijl ook wordt gecontroleerd op antivirussoftware en het instellen Windows Defender-uitsluitingen.

Gegevensinbreuken voorkomen

RAT's zoals AsyncRAT worden meestal gebruikt om een ​​externe link te smeden tussen een bedreigingsactor en een slachtofferapparaat, informatie te stelen en toezicht uit te voeren via microfoons en camera's. Ze bieden een scala aan geavanceerde mogelijkheden die de aanvallers de mogelijkheid geven om de gecompromitteerde machines volledig te bewaken en te besturen.

Morphisec wees ook op de geavanceerde tactieken van de campagne, waardoor de malware erdoor kon glippen virtueel onopgemerkt door de meeste antimalware-engines, ondanks dat de operatie bijna vijf maanden van kracht is.

spot_img

Laatste intelligentie

spot_img