AsyncRAT Malware
AsyncRat es un troyano de acceso remoto (RAT) dirigido a la plataforma Windows publicada en GitHub en enero del 2019, conocido por su capacidad para vigilar y enviar información del sistema sobre el sistema objetivo a un servidos remoto. Una vez instalado, AsyncRAT puede realizar capturas de pantalla, robar datos personales, descargar e instalar otros tipos de malware y ejecutar otras actividades maliciosas, todo mientras intenta evitar la detección de programas antivirus.
Análisis Técnico
Un destinatario recibe un correo electrónico no deseado que contiene un enlace web falso. Cuando se accede a este enlace, se activa la descarga de un archivo HTML. Dentro de este archivo HTML, se incrusta un archivo ISO y este archivo de imagen ISO alberga un WSF (archivo de script de Windows). Posteriormente, el archivo WSF establece conexiones con varias direcciones URL y procede a ejecutar varios archivos en formatos como PowerShell, VBScript y BAT. Estos archivos ejecutados se emplean para llevar a cabo una inyección de proceso en RegSvcs.exe, una utilidad legítima de Microsoft .NET. Esta manipulación de RegSvcs.exe permite al atacante ocultar de forma encubierta sus actividades dentro de una aplicación de sistema de confianza.
Taxonomía
| ID | Técnica |
| T1622 | Debugger Evasion |
| T1568 | Dynamic Resolution |
| T1564 .003 | Hide Artifacts: Hidden Window |
| T1105 | Ingress Tool Transfer |
| T1056 .001 | Input Capture: Keylogging |
| T1106 | Native API |
| T1057 | Process Discovery |
| T1053 .005 | Scheduled Task/Job: Scheduled Task |
| T1113 | Screen Capture |
| T1082 | System Information Discovery |
| T1033 | System Owner/User Discovery |
| T1125 | Video Capture |
| T1497 .001 | Virtualization/Sandbox Evasion: System Checks |
Indicadores de Compromiso
| IPv4 | 185.81.157.242 |
| http://185.81.157.242:222/c.txt | |
| http://185.81.157.242:222/x.jpg | |
| hxxp://45.12.253[.]107:222/f[.]txt | |
| hxxp://45.12.253[.]107:222/j[.]jpg | |
| http://drippmedsot.mywire.org:6606 | |
| http://drippmedsot.mywire.org:7707 | |
| http://drippmedsot.mywire.org:8808 | |
| drippmedsot.mywire.org | |
| MD5 | 0a80a592d407a2a8b8b318286dc30769 |
| 61b7507a6814e81cda6b57850f9f31da | |
| 750dc2354b0454eafd66900687a0f7d6 | |
| 790562cefbb2c6b9d890b6d2b4adc548 | |
| A31191CA8FE50B0A70EB48B82C4D6F39 | |
| ac12d457d3ee177af8824cdc1de47f2a | |
| b98e76816350a6a527fc311dae62b85e | |
| c09266666ee71ade24e0e5f889cc8199 | |
| SHA1 | 0c4ea19ca95da921329b3d69615a36e49b5ff839 |
| 2b4b9bdbe23d0e0bee5e12a36c430a703c72d307 | |
| 316b99a2bf664ccd94eb050005975c52806d2163 | |
| 3b10e9a10fc90e2a0a28f13a84c9b58eeb382dfc | |
| 43b48bb6cd7838151c1552523b1acb2a95fec4c8 | |
| 921bd5cb08b5c6a77a28e2864417bb8cdefafbf0 | |
| SHA256 | 70029e8693a7a5608b442b1944a3f6c11fe2ff1949f26e3f6178472b87837d75 |
| 8bd0aaa05cfbaaf897461eafb2e69fee035f01970074bbc6e9b6f47dc3962e21 | |
| 9de260716f318fa13874b0e8ad4b54bccb889433e23795d99aa4a47d320b0699 | |
| A0064BDCF92B7C1A55A8E88FD4ECB38D27C4D602F7BF5FEB18C2304D775D7387 | |
| e7bfb2306a89d6a4ea825e7e65e12dca5a86ffd226d20db84a665e7c59666862 | |
| 83c96c9853245a32042e45995ffa41393eeb9891e80ebcfb09de8fae8b5055a3 | |
| 97f91122e541b38492ca2a7c781bb9f6b0a2e98e5b048ec291d98c273a6c3d62 | |
| ac6c6e196c9245cefbed223a3b02d16dd806523bba4e74ab1bcf55813cc5702a | |
| 0159bd243221ef7c5f392bb43643a5f73660c03dc2f74e8ba50e4aaed6c6f531 | |
| f123c1df7d17d51115950734309644e05f3a74a5565c822f17c1ca22d62c3d99 | |
| 19402c43b620b96c53b03b5bcfeaa0e645f0eff0bc6e9d1c78747fafbbaf1807 | |
| 34cb840b44befdd236610f103ec1d0f914528f1f256d9ab375ad43ee2887d8ce | |
| 1c3d5dea254506c5f7c714c0b05f6e2241a25373225a6a77929e4607eb934d08 | |
| 83b29151a192f868362c0ecffe5c5fabe280c8baac335c79e8950fdd439e69ac |
Recomendaciones
- Realizar copias de seguridad de datos esenciales regularmente
- Capacitar a los empleados sobre la Ingeniería Social
- Implementar un programa antivirus
- Tener filtros de correo electrónico y spam
Referencias
Prevención y Análisis del Troyano AsyncRAT (tecnetone.com)
AsyncRAT, Software S1087 | MITRE ATT&CK®
Unmasking AsyncRAT New Infection Chain | McAfee Blog
