Los ataques del malware AsyncRAT han sido dirigidos a infraestructuras estadounidenses

Una campaña que propaga el malware AsyncRAT a objetivos seleccionados ha estado activa durante al menos 11 meses, utilizando cientos de muestras de cargadores únicos y más de 100 dominios.

AsyncRAT es una herramienta de acceso remoto (RAT) de código abierto para Windows, disponible públicamente desde 2019, con funciones de ejecución remota de comandos, keylogging, exfiltración de datos y caída de carga útil adicional.

Esta herramienta ha sido ampliamente utilizada por los ciberdelincuentes a lo largo de los años, tal cual o de forma modificada, para afianzarse en el objetivo, robar archivos y datos, y desplegar otro malware.

El verano pasado, Igal Lytzki, investigador de seguridad de Microsoft, descubrió que los ataques se propagaban a través de hilos de correo electrónico secuestrados, pero no pudo rastrear la carga útil final.

En septiembre, el equipo de investigación Alien Labs de AT&T observó «un repunte de correos electrónicos de phishing dirigidos a personas concretas de determinadas empresas» y comenzó a investigar.

«Las víctimas y sus empresas se seleccionan cuidadosamente para ampliar el impacto de la campaña. Algunos de los objetivos identificados gestionan infraestructuras clave en Estados Unidos».

AT&T Alien Labs

Los ataques comienzan con un correo electrónico malicioso que contiene un archivo adjunto GIF que conduce a un archivo SVG que descarga JavaScript ofuscado y scripts PowerShell.

Tras superar ciertas comprobaciones anti-sandboxing, el cargador se comunica con el servidor de mando y control (C2) y determina si la víctima es apta para la infección AsyncRAT.

Los dominios C2 codificados se alojan en BitLaunch, un servicio que permite realizar pagos anónimos en criptomoneda, una opción útil para los ciberdelincuentes.

Si el cargador determina que está operando en un entorno de exploración, despliega cargas útiles señuelo, presumiblemente con el objetivo de engañar a los investigadores de seguridad y a las herramientas de detección de amenazas.

El sistema anti-sandboxing utilizado por el cargador implica una serie de comprobaciones realizadas a través de comandos PowerShell que recuperan información sobre el sistema y calculan una puntuación que indica si se está ejecutando en una máquina virtual.

AT&T Alien Labs ha determinado que el autor de la amenaza ha utilizado 300 muestras únicas del cargador en los últimos 11 meses, cada una de ellas con pequeños cambios en la estructura del código, la ofuscación y los nombres y valores de las variables.

The researchers also observed the use of a domain generation algorithm (DGA) that generates new C2 domains every Sunday.

According to AT&T Alien Labs’ findings, the domains used in the campaign follow a specific structure: they belong to the «top» TLD, use eight random alphanumeric characters, are registered in Nicenic.net, use South Africa for the country code and are hosted on DigitalOcean.

AT&T ha sido capaz de descifrar la lógica que subyace al sistema de generación de dominios, e incluso ha predicho qué dominios se generarán y asignarán al malware a lo largo de enero de 2024.

Los investigadores no han atribuido los ataques a un adversario específico, pero señalan que estos «actores de amenazas valoran el sigilo», como indican los esfuerzos por ofuscar las muestras.

El equipo de Alien Labs proporciona un conjunto de indicadores de compromiso, así como firmas para el software de análisis de redes y detección de amenazas Suricata que las organizaciones pueden utilizar para detectar intrusiones asociadas a esta campaña AsyncRAT.