Er is een nieuwe, geavanceerde phishing-aanval waargenomen die de AsyncRAT-trojan aflevert als onderdeel van een malwarecampagne waarvan wordt aangenomen dat deze in september 2021 is begonnen.
“Via een eenvoudige phishing-tactiek via e-mail met een html-bijlage, leveren aanvallers AsyncRAT (een trojan voor externe toegang) die is ontworpen om de geïnfecteerde computers op afstand te bewaken en te besturen via een veilige, versleutelde verbinding”, zegt Michael Dereviashkin, beveiligingsonderzoeker bij het bedrijf voor preventie van bedrijfsinbreuken. Morphisec, zei in een rapport.
De inbreuken beginnen met een e-mailbericht met een HTML-bijlage die is vermomd als een ontvangstbevestiging van de bestelling (bijv. Ontvangst-
Maar in tegenstelling tot andere aanvallen die het slachtoffer naar een phishing-domein leiden dat expliciet is ingesteld voor het downloaden van de next-stage malware, maakt de nieuwste RAT-campagne slim gebruik van JavaScript om het ISO-bestand lokaal te maken van een Base64-gecodeerde string en het downloadproces na te bootsen.
“De ISO-download wordt niet gegenereerd vanaf een externe server, maar vanuit de browser van het slachtoffer door een JavaScript-code die is ingebed in het HTML-ontvangstbestand”, legt Dereviashkin uit.
Wanneer het slachtoffer het ISO-bestand opent, wordt het automatisch gemount als een dvd-station op de Windows-host en bevat het een .BAT- of een .VBS-bestand, dat de infectieketen voortzet om een component in de volgende fase op te halen via een PowerShell-opdrachtuitvoering.
Dit resulteert in de uitvoering van een .NET-module in het geheugen die vervolgens fungeert als een druppelaar voor drie bestanden – één fungeert als een trigger voor de volgende – om uiteindelijk AsyncRAT als de laatste payload te leveren, terwijl ook wordt gecontroleerd op antivirussoftware en het instellen Windows Defender-uitsluitingen.
RAT’s zoals AsyncRAT worden meestal gebruikt om een externe link te smeden tussen een bedreigingsactor en een slachtofferapparaat, informatie te stelen en toezicht uit te voeren via microfoons en camera’s. Ze bieden een scala aan geavanceerde mogelijkheden die de aanvallers de mogelijkheid geven om de gecompromitteerde machines volledig te bewaken en te besturen.
Morphisec wees ook op de geavanceerde tactieken van de campagne, waardoor de malware erdoor kon glippen virtueel onopgemerkt door de meeste antimalware-engines, ondanks dat de operatie bijna vijf maanden van kracht is.
