AI DevwWrld CyberDSA Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Asian Integrated Resort Expo Middle East Low Code No Code Summit TimeAI Summit

AsyncRAT: un'Irruzione cibernetica di ampie proporzioni

Infiltrazioni e strategie elusive: il RAT che minaccia la sicurezza digitale

AsyncRAT, uno strumento di accesso remoto per Windows, è stato usato in un attacco informatico per infiltrarsi e rubare dati da sistemi, mirando a infrastrutture critiche negli USA.

This pill is also available in English language

Nella sfera della sicurezza informatica, una massiccia operazione di infiltrazione è stata rilevata e monitorata per oltre 11 mesi. Il protagonista di questo schema offensivo è AsyncRAT, uno strumento RAT (Remote Access Tool) progettato per sistemi operativi Windows e pubblicato nel 2019. AsyncRAT è noto per la sua capacità di eseguire comandi a distanza, intercettare battute di tastiera (keylogging), sottrarre dati e veicolare payload aggiuntivi all'insaputa degli utenti finali. Gli aggressori cibernetici si sono avvalsi di questa utility in forme sia pure sia opportunamente alterate per infiltrarsi e compromettere i sistemi di destinazione, eseguire attività di raccolta informazioni e diffondere altri elementi malware.

Selezione meticolosa delle vittime e metodi di attacco

Secondo il report di Alien Labs, il dipartimento di ricerca di AT&T, la campagna di attacco si è evidenziata nel Settembre scorso per l'acume nella selezione delle sue vittime: individui e organizzazioni attentamente vagliati, molti dei quali gestivano infrastrutture critiche sul suolo statunitense. L'inganno inizia con email insidiose che includevano allegati GIF, i quali dirottano gli utenti verso file SVG che innescano l'esecuzione di script JavaScript e PowerShell intenzionalmente camuffati, per evitare il rilevamento nelle fasi preliminari dell'attacco.

La tattica implementata per evitare rilevamenti

Il veicolo primario per AsyncRAT è un downloader che innesta una comunicazione diretta con un server di comando e controllo (C2) per convalidare la suscettibilità del sistema preso di mira all'infezione. Questi downloader, che utilizzano una serie di domini C2 con pagamenti criptati e anonimi attraverso il servizio BitLaunch, sono programmati per divulgare payload diversivi se rilevano di trovarsi in ambienti dedicati all'analisi. Una tattica deliberata per indurre in errore i ricercatori e mascherare l'attività maligna agli strumenti di cyber intelligence.

Anti-sandboxing e la diversificazione degli attacchi

L'architetta del bootloader in uso effettua meticolosi controlli via PowerShell per identificare l'utilizzo di macchine virtuali e di altri ambienti protetti. Questi controlli mirano a generare un 'punteggio' in base al quale viene decisa l'azione successiva. È stato osservato che gli aggressori hanno introdotto almeno 300 varianti distinte di bootloader, ciascuna con lievi variazioni nel codice, tecniche di offuscamento e nei parametri per eludere gli algoritmi di rilevamento e mantenere l'efficacia dell'attacco.

Follow us on Telegram for more pills like this

01/11/2024 12:51

Marco Verro

Last pills

Zero-day threat on Android devices: Samsung prepares a crucial updateFind out how Samsung is addressing critical Android vulnerabilities and protecting Galaxy devices from cyber threats

CrowdStrike: how a security update crippled the tech worldGlobal impact of a security update on banking, transportation and cloud services: what happened and how the crisis is being addressed

Checkmate the criminal networks: the Interpol operation that reveals the invisibleFind out how Operation Interpol exposed digital fraudsters and traffickers through extraordinary global collaboration, seizing luxury goods and false documents

Google Cloud security predictions for 2024: how AI will reshape the cybersecurity landscapeFind out how AI will transform cybersecurity and address geopolitical threats in 2024 according to Google Cloud report