AsyncRAT Malware

Publicado hace 8 meses 09-01-2024

AsyncRat es un troyano de acceso remoto (RAT) dirigido a la plataforma Windows publicada en GitHub en enero del 2019, conocido por su capacidad para vigilar y enviar información del sistema sobre el sistema objetivo a un servidos remoto. Una vez instalado, AsyncRAT puede realizar capturas de pantalla, robar datos personales, descargar e instalar otros tipos de malware y ejecutar otras actividades maliciosas, todo mientras intenta evitar la detección de programas antivirus.



Análisis Técnico

Un destinatario recibe un correo electrónico no deseado que contiene un enlace web falso. Cuando se accede a este enlace, se activa la descarga de un archivo HTML. Dentro de este archivo HTML, se incrusta un archivo ISO y este archivo de imagen ISO alberga un WSF (archivo de script de Windows). Posteriormente, el archivo WSF establece conexiones con varias direcciones URL y procede a ejecutar varios archivos en formatos como PowerShell, VBScript y BAT. Estos archivos ejecutados se emplean para llevar a cabo una inyección de proceso en RegSvcs.exe, una utilidad legítima de Microsoft .NET. Esta manipulación de RegSvcs.exe permite al atacante ocultar de forma encubierta sus actividades dentro de una aplicación de sistema de confianza.


Taxonomía

 

ID Técnica
T1622 Debugger Evasion
T1568 Dynamic Resolution
T1564 .003 Hide Artifacts: Hidden Window
T1105 Ingress Tool Transfer
T1056 .001 Input Capture: Keylogging
T1106 Native API
T1057 Process Discovery
T1053 .005 Scheduled Task/Job: Scheduled Task
T1113 Screen Capture
T1082 System Information Discovery
T1033 System Owner/User Discovery
T1125 Video Capture
T1497 .001 Virtualization/Sandbox Evasion: System Checks


Indicadores de Compromiso

 
IPv4 185.81.157.242
  http://185.81.157.242:222/c.txt
  http://185.81.157.242:222/x.jpg
  hxxp://45.12.253[.]107:222/f[.]txt
  hxxp://45.12.253[.]107:222/j[.]jpg
  http://drippmedsot.mywire.org:6606
  http://drippmedsot.mywire.org:7707
  http://drippmedsot.mywire.org:8808
  drippmedsot.mywire.org
MD5 0a80a592d407a2a8b8b318286dc30769
  61b7507a6814e81cda6b57850f9f31da
  750dc2354b0454eafd66900687a0f7d6
  790562cefbb2c6b9d890b6d2b4adc548
  A31191CA8FE50B0A70EB48B82C4D6F39
  ac12d457d3ee177af8824cdc1de47f2a
  b98e76816350a6a527fc311dae62b85e
  c09266666ee71ade24e0e5f889cc8199
SHA1 0c4ea19ca95da921329b3d69615a36e49b5ff839
  2b4b9bdbe23d0e0bee5e12a36c430a703c72d307
  316b99a2bf664ccd94eb050005975c52806d2163
  3b10e9a10fc90e2a0a28f13a84c9b58eeb382dfc
  43b48bb6cd7838151c1552523b1acb2a95fec4c8
  921bd5cb08b5c6a77a28e2864417bb8cdefafbf0
SHA256 70029e8693a7a5608b442b1944a3f6c11fe2ff1949f26e3f6178472b87837d75
  8bd0aaa05cfbaaf897461eafb2e69fee035f01970074bbc6e9b6f47dc3962e21
  9de260716f318fa13874b0e8ad4b54bccb889433e23795d99aa4a47d320b0699
  A0064BDCF92B7C1A55A8E88FD4ECB38D27C4D602F7BF5FEB18C2304D775D7387
  e7bfb2306a89d6a4ea825e7e65e12dca5a86ffd226d20db84a665e7c59666862 
  83c96c9853245a32042e45995ffa41393eeb9891e80ebcfb09de8fae8b5055a3
  97f91122e541b38492ca2a7c781bb9f6b0a2e98e5b048ec291d98c273a6c3d62
  ac6c6e196c9245cefbed223a3b02d16dd806523bba4e74ab1bcf55813cc5702a
  0159bd243221ef7c5f392bb43643a5f73660c03dc2f74e8ba50e4aaed6c6f531
  f123c1df7d17d51115950734309644e05f3a74a5565c822f17c1ca22d62c3d99
  19402c43b620b96c53b03b5bcfeaa0e645f0eff0bc6e9d1c78747fafbbaf1807
  34cb840b44befdd236610f103ec1d0f914528f1f256d9ab375ad43ee2887d8ce
  1c3d5dea254506c5f7c714c0b05f6e2241a25373225a6a77929e4607eb934d08
  83b29151a192f868362c0ecffe5c5fabe280c8baac335c79e8950fdd439e69ac

Recomendaciones

  • Realizar copias de seguridad de datos esenciales regularmente
  • Capacitar a los empleados sobre la Ingeniería Social
  • Implementar un programa antivirus
  • Tener filtros de correo electrónico y spam

Referencias

Prevención y Análisis del Troyano AsyncRAT (tecnetone.com)

AsyncRAT, Software S1087 | MITRE ATT&CK®

Unmasking AsyncRAT New Infection Chain | McAfee Blog
 

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidades en VMware (CVE-2024-38812 Critica 9.8, CVE-2024-38813 Alta 7.5)
Publicado hace 7 horas 19-09-2024

Broadcom ha publicado el pasado 17 de septiembre un aviso de seguridad en el que se mencionan 2 vulnerabilidades que afectan a su software de virtualización VMware. Específicamente, las vulnerabilidades son:  CVE-2024-38812, con un puntaje CVSS de 9.8, se cl......

Incidente de Seguridad Fortinet
Publicado hace 1 semana 12-09-2024

Fortinet, uno de los principales actores en el sector de la ciberseguridad, ha confirmado una violación de datos tras la afirmación de un atacante de haber sustraído archivos del servidor Microsoft SharePoint de la compañía. Como una de las emp......

Vulnerabilidades Criticas en Productos Microsoft CVE-2024-38220, CVE-2024-43491
Publicado hace 1 semana 12-09-2024

Microsoft, al igual que otros fabricantes, calendariza sus noticias sobre seguridad cada segundo martes de cada mes, lo cual llaman "Patch Tuesday". En este mes de septiembre de 2024, publicó en su página de Security Update Guide su aviso sobre ciberseguri......

BOLETINES RECIENTES

...
Vulnerabilidades en VMware (CVE-2024-38812 Critica 9.8, CVE-2024-38813 Alta 7.5)
Publicado hace 7 horas 19-09-2024
Leer más
...
Incidente de Seguridad Fortinet
Publicado hace 1 semana 12-09-2024
Leer más
...
Vulnerabilidades Criticas en Productos Microsoft CVE-2024-38220, CVE-2024-43491
Publicado hace 1 semana 12-09-2024
Leer más