AI DevwWrld Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Middle East Low Code No Code Summit TimeAI Summit

AsyncRAT: un'Irruzione cibernetica di ampie proporzioni

Infiltrazioni e strategie elusive: il RAT che minaccia la sicurezza digitale

AsyncRAT, uno strumento di accesso remoto per Windows, è stato usato in un attacco informatico per infiltrarsi e rubare dati da sistemi, mirando a infrastrutture critiche negli USA.

Contribute to spreading the culture of prevention!
Support our cause with a small donation by helping us raise awareness among users and companies about cyber threats and defense solutions.

This pill is also available in English language

Nella sfera della sicurezza informatica, una massiccia operazione di infiltrazione è stata rilevata e monitorata per oltre 11 mesi. Il protagonista di questo schema offensivo è AsyncRAT, uno strumento RAT (Remote Access Tool) progettato per sistemi operativi Windows e pubblicato nel 2019. AsyncRAT è noto per la sua capacità di eseguire comandi a distanza, intercettare battute di tastiera (keylogging), sottrarre dati e veicolare payload aggiuntivi all'insaputa degli utenti finali. Gli aggressori cibernetici si sono avvalsi di questa utility in forme sia pure sia opportunamente alterate per infiltrarsi e compromettere i sistemi di destinazione, eseguire attività di raccolta informazioni e diffondere altri elementi malware.

Selezione meticolosa delle vittime e metodi di attacco

Secondo il report di Alien Labs, il dipartimento di ricerca di AT&T, la campagna di attacco si è evidenziata nel Settembre scorso per l'acume nella selezione delle sue vittime: individui e organizzazioni attentamente vagliati, molti dei quali gestivano infrastrutture critiche sul suolo statunitense. L'inganno inizia con email insidiose che includevano allegati GIF, i quali dirottano gli utenti verso file SVG che innescano l'esecuzione di script JavaScript e PowerShell intenzionalmente camuffati, per evitare il rilevamento nelle fasi preliminari dell'attacco.

La tattica implementata per evitare rilevamenti

Il veicolo primario per AsyncRAT è un downloader che innesta una comunicazione diretta con un server di comando e controllo (C2) per convalidare la suscettibilità del sistema preso di mira all'infezione. Questi downloader, che utilizzano una serie di domini C2 con pagamenti criptati e anonimi attraverso il servizio BitLaunch, sono programmati per divulgare payload diversivi se rilevano di trovarsi in ambienti dedicati all'analisi. Una tattica deliberata per indurre in errore i ricercatori e mascherare l'attività maligna agli strumenti di cyber intelligence.

Anti-sandboxing e la diversificazione degli attacchi

L'architetta del bootloader in uso effettua meticolosi controlli via PowerShell per identificare l'utilizzo di macchine virtuali e di altri ambienti protetti. Questi controlli mirano a generare un 'punteggio' in base al quale viene decisa l'azione successiva. È stato osservato che gli aggressori hanno introdotto almeno 300 varianti distinte di bootloader, ciascuna con lievi variazioni nel codice, tecniche di offuscamento e nei parametri per eludere gli algoritmi di rilevamento e mantenere l'efficacia dell'attacco.

Follow us on Twitter for more pills like this

01/11/2024 12:51

Editorial AI

Last pills

LockBit's response to FBI actionsLockBit's technological revenge: post-attack updates and awareness

LockBit's tenacious activity despite global investigationsChallenges and countermeasures in the war against the LockBit cyber criminal group

Avast fined for illegitimate sale of web dataFines and restrictions imposed on cybersecurity company for misuse of personal data

KeyTrap: DNSSEC flaw discovered by researchersThe vulnerability puts the stability of DNSSEC at risk