Ερευνητές ασφαλείας εντόπισαν επιθέσεις που διανέμουν το AsyncRAT malware σε επιλεγμένους στόχους εδώ και περίπου 11 μήνες (τουλάχιστον), χρησιμοποιώντας εκατοντάδες μοναδικά δείγματα loader και περισσότερα από 100 domains.
Το AsyncRAT malware είναι ένα εργαλείο απομακρυσμένης πρόσβασης, ανοιχτού κώδικα, (RAT) που στοχεύει Windows. Είναι δημοσίως διαθέσιμο από το 2019 και διαθέτει λειτουργίες που του επιτρέπουν απομακρυσμένη εκτέλεση εντολών, καταγραφή πληκτρολογήσεων, εξαγωγή δεδομένων και εγκατάσταση πρόσθετων κακόβουλων payloads στις συσκευές των θυμάτων.
Το εργαλείο έχει χρησιμοποιηθεί σε πολλές επιθέσεις όλα αυτά τα χρόνια (με την αρχική του ή με τροποποιημένη μορφή) για την απόκτηση πρόσβασης στη συσκευή- στόχο, την κλοπή αρχείων και δεδομένων και την ανάπτυξη πρόσθετου κακόβουλου λογισμικού.
Δείτε επίσης: Το νέο JinxLoader διανέμει τα Formbook και XLoader malware
Ο ερευνητής ασφάλειας της Microsoft, Igal Lytzki, εντόπισε το περασμένο καλοκαίρι τις επιθέσεις παράδοσης του malware, οι οποίες γίνονται μέσω παραβιασμένων email threads. Ωστόσο, δεν μπόρεσε να ανακτήσει το τελικό payload.
Τον Σεπτέμβριο, η ομάδα ερευνητών του Alien Labs της AT&T παρατήρησε “μια αύξηση στα phishing emails, που στόχευαν συγκεκριμένα άτομα σε ορισμένες εταιρείες” και άρχισε να ερευνά.
“Τα θύματα και οι εταιρείες τους επιλέγονται προσεκτικά για να διευρύνουν τον αντίκτυπο της εκστρατείας. Μερικοί από τους προσδιορισμένους στόχους διαχειρίζονται βασικές υποδομές στις Η.Π.Α.“, είπαν οι ερευνητές.
Πώς λειτουργούν οι επιθέσεις;
Οι επιθέσεις ξεκινούν με ένα κακόβουλο email με ένα συνημμένο GIF, που οδηγεί σε ένα αρχείο SVG. Αυτό κατεβάζει obfuscated JavaScript και PowerShell scripts.
Αφού περάσει ορισμένους ελέγχους anti-sandboxing, το loader επικοινωνεί με τον command and control (C2) server και αποφασίζει εάν το θύμα θα μολυνθεί με το AsyncRAT malware (όπως προείπαμε, οι στόχοι είναι επιλεγμένοι).
Τα hardcoded C2 domains φιλοξενούνται στο BitLaunch, μια υπηρεσία που επιτρέπει ανώνυμες πληρωμές σε κρυπτονομίσματα, (πολύ χρήσιμο για τους εγκληματίες του κυβερνοχώρου).
Εάν το loader διαπιστώσει ότι εκτελείται σε περιβάλλον ανάλυσης, αναπτύσσει payloads – δολώματα, για να παραπλανήσει τους ερευνητές ασφαλείας και τα εργαλεία ανίχνευσης απειλών.
Το σύστημα anti-sandboxing που χρησιμοποιείται από το loader περιλαμβάνει μια σειρά επαληθεύσεων που ανακτούν λεπτομέρειες πληροφοριών συστήματος και υπολογίζουν εάν εκτελείται σε virtual machine.
Δείτε επίσης: MASEPIE: Ρώσοι χάκερς στοχεύουν την Ουκρανία με νέο malware
Οι ερευνητές Alien Labs της AT&T ανακάλυψαν ότι οι επιτιθέμενοι χρησιμοποίησαν 300 μοναδικά δείγματα του loader τους τελευταίους 11 μήνες. Επίσης, χρησιμοποιήθηκε ένας αλγόριθμος δημιουργίας domain (DGA) που δημιουργεί νέα C2 domains κάθε Κυριακή.
Τα domains που χρησιμοποιούνται ακολουθούν μια συγκεκριμένη δομή: βρίσκονται στο “top” TLD, χρησιμοποιούν οκτώ τυχαίους αλφαριθμητικούς χαρακτήρες, είναι εγγεγραμμένα στο Nicenic.net, χρησιμοποιούν τη Νότια Αφρική για τον κωδικό χώρας και φιλοξενούνται στο DigitalOcean.
Προς το παρόν, δεν γνωρίζουμε ποιος βρίσκεται πίσω από αυτές τις επιθέσεις. Ωστόσο, πιστεύεται ότι οι συγκεκριμένοι hackers προτιμούν να παραμείνουν διακριτικοί, αν κρίνουμε από τον τρόπο που λειτουργούν.
Η ομάδα του Alien Labs παρέχει ένα σύνολο δεικτών παραβίασης μαζί με υπογραφές για το λογισμικό ανάλυσης δικτύου Suricata και ανίχνευσης απειλών, που μπορούν να χρησιμοποιήσουν οι εταιρείες για τον εντοπισμό εισβολών που σχετίζονται με το AsyncRAT malware.
Προληπτικά μέτρα και συμβουλές ασφαλείας ενάντια στο AsyncRAT
Το AsyncRAT είναι ένα επικίνδυνο malware, γι’ αυτό πρέπει να είστε προετοιμασμένοι κατάλληλα. Ακολουθήστε μερικά απλά αλλά αποτελεσματικά βήματα για να παραμείνετε ασφαλείς:
- Κρατήστε το λογισμικό ασφαλείας σας ενημερωμένο: Το να έχετε την τελευταία έκδοση του λογισμικού ασφαλείας σας μπορεί να είναι ένας από τους πιο αποτελεσματικούς τρόπους για να αποφύγετε τις επιθέσεις malware.
- Αποφύγετε τα μη αξιόπιστα downloads: Το να κατεβάζετε αρχεία και λογισμικό μόνο από αξιόπιστες πηγές μπορεί να μειώσει δραματικά τον κίνδυνο μόλυνσης από το AsyncRAT και άλλο malware.
- Προσέξετε τις εκστρατείες phishing: Τα e-mails και τα μηνύματα που ζητούν πληροφορίες λογαριασμού ή κωδικούς πρόσβασης είναι συχνά μέσα διεκπεραίωσης των επιθέσεων malware. Να είστε πάντα σε επιφυλακή.
Δείτε επίσης: JaskaGO: Ένα νέο malware που στοχεύει Windows και MacOS
Θα θέλαμε να τονίσουμε ένα πολύ σημαντικό σημείο:
Κανένα σύστημα ασφαλείας δεν είναι άτρωτο. Αυτό που αποτρέπει ουσιαστικά τη μόλυνση από malware είναι η συνεχής ενημέρωση σχετικά με τις στρατηγικές των επιτιθέμενων και η συμμόρφωση με τις βέλτιστες πρακτικές ασφάλειας.
Βεβαιωθείτε, λοιπόν, ότι έχετε κάνει κάθε δυνατή προσπάθεια για την προστασία των ψηφιακών σας περιουσιακών στοιχείων από το AsyncRAT.
Πηγή: www.bleepingcomputer.com
,){kind=link}