AsyncRAT: un'Irruzione cibernetica di ampie proporzioni
Infiltrazioni e strategie elusive: il RAT che minaccia la sicurezza digitale
AsyncRAT, uno strumento di accesso remoto per Windows, è stato usato in un attacco informatico per infiltrarsi e rubare dati da sistemi, mirando a infrastrutture critiche negli USA.
Nella sfera della sicurezza informatica, una massiccia operazione di infiltrazione è stata rilevata e monitorata per oltre 11 mesi. Il protagonista di questo schema offensivo è AsyncRAT, uno strumento RAT (Remote Access Tool) progettato per sistemi operativi Windows e pubblicato nel 2019. AsyncRAT è noto per la sua capacità di eseguire comandi a distanza, intercettare battute di tastiera (keylogging), sottrarre dati e veicolare payload aggiuntivi all'insaputa degli utenti finali. Gli aggressori cibernetici si sono avvalsi di questa utility in forme sia pure sia opportunamente alterate per infiltrarsi e compromettere i sistemi di destinazione, eseguire attività di raccolta informazioni e diffondere altri elementi malware.
Selezione meticolosa delle vittime e metodi di attacco
Secondo il report di Alien Labs, il dipartimento di ricerca di AT&T, la campagna di attacco si è evidenziata nel Settembre scorso per l'acume nella selezione delle sue vittime: individui e organizzazioni attentamente vagliati, molti dei quali gestivano infrastrutture critiche sul suolo statunitense. L'inganno inizia con email insidiose che includevano allegati GIF, i quali dirottano gli utenti verso file SVG che innescano l'esecuzione di script JavaScript e PowerShell intenzionalmente camuffati, per evitare il rilevamento nelle fasi preliminari dell'attacco.
La tattica implementata per evitare rilevamenti
Il veicolo primario per AsyncRAT è un downloader che innesta una comunicazione diretta con un server di comando e controllo (C2) per convalidare la suscettibilità del sistema preso di mira all'infezione. Questi downloader, che utilizzano una serie di domini C2 con pagamenti criptati e anonimi attraverso il servizio BitLaunch, sono programmati per divulgare payload diversivi se rilevano di trovarsi in ambienti dedicati all'analisi. Una tattica deliberata per indurre in errore i ricercatori e mascherare l'attività maligna agli strumenti di cyber intelligence.
Anti-sandboxing e la diversificazione degli attacchi
L'architetta del bootloader in uso effettua meticolosi controlli via PowerShell per identificare l'utilizzo di macchine virtuali e di altri ambienti protetti. Questi controlli mirano a generare un 'punteggio' in base al quale viene decisa l'azione successiva. È stato osservato che gli aggressori hanno introdotto almeno 300 varianti distinte di bootloader, ciascuna con lievi variazioni nel codice, tecniche di offuscamento e nei parametri per eludere gli algoritmi di rilevamento e mantenere l'efficacia dell'attacco.
Follow us on Telegram for more pills like this01/11/2024 12:51
Marco Verro