AsyncRAT отново е в заглавията на новините, а атакуващите зад него са намерили интелигентен начин да се скрият пред очите на всички.

Вместо да разчитат на подозрителни сървъри, те използват връзки към Dropbox и тунели на TryCloudflare – и двете легитимни услуги с високо доверие, които повечето инструменти за сигурност рядко блокират.

Резултатът е кампания, която заобикаля ежедневните защити, докато тихомълком предава контрола над заразените компютри на атакуващите.

Самият троянски кон не е нищо ново. AsyncRAT се използва от години за шпиониране на жертви, кражба на данни и изпълнение на отдалечени команди без да бъде забелязан.

Това, което прави тази вълна забележителна, е методът на доставяне, който се опира на легитимна облачна инфраструктура и скрит Python пакет за инсталиране на крайния зловреден товар.

Изследователи от Forcepoint наскоро идентифицираха тази кампания с AsyncRAT, отбелязвайки, че тя много прилича на по-ранна атака, анализирана от компанията през август.

Екипът заяви, че повторното използване на TryCloudflare потвърждава прогнозите, направени в техния доклад за бъдещи перспективи за 2025 г., който предупреди, че атакуващите все по-често ще злоупотребяват с легитимна инфраструктура, за да останат под радара.

Инфекцията започва с нещо, което почти всеки е виждал преди – фишинг имейл, съдържащ съобщение на тема фактура.

Кликването върху вградената връзка към Dropbox задейства верига от изтегляния, която в крайна сметка инсталира AsyncRAT, като същевременно показва на жертвата убедителна фалшива PDF фактура, за да се запази ниско ниво на подозрение.

Forcepoint заяви в доклад, споделен с Cyber Security News (CSN), че кампанията показва колко лесно платформите с доверие могат да бъдат превърнати в инструменти за доставяне на сериозни киберзаплахи.

Кампанията с AsyncRAT злоупотребява с TryCloudflare тунели и Python скриптове

Имейл примамката крие Dropbox URL зад бутон на немски език, предназначен за изтегляне на фактура. Кликването върху него изтегля ZIP файл, съдържащ интернет пряк път (shortcut), чието отваряне се свързва с поддомейн на TryCloudflare.

Този поддомейн хоства LNK файл, който използва PowerShell, за да изтегли JavaScript файл от същия тунел.

След като бъде деобфускиран, JavaScript файлът тихомълком изтегля batch файл от същата инфраструктура.

Този batch файл е силно обфускиран и върши истинската тежка работа. Той отваря фалшивата PDF фактура като примамка, докато изтегля втори ZIP файл, който носи Python пакет. Той също така проверява дали Python е инсталиран и стартира включения в пакета интерпретатор, ако не е.

Вътре в този Python пакет повечето файлове са безобидни компоненти за настройка. Само един скрипт с име load.py, заедно с пет придружаващи двоични файла, всъщност извършва атаката.

Python Loader и краен зловреден товар

След като бъде задействан, load.py извиква ctypes – Python библиотека, която комуникира директно със системните функции на Windows. Той използва този достъп за разпределяне на памет, създаване на нишки и копиране на shellcode, които са класически градивни елементи на процеса по инжектиране (process injection).

Използваната тук техника е Early Bird APC Queue injection. Тя внедрява код в новосъздаден процес, преди този процес да стартира основната си нишка, което прави засичането от антивирусни програми и инструменти за защита на крайни точки по-трудно. В зависимост от това кой двоичен файл се обработва, зловредният товар варира.

Един от двоичните файлове инжектира VenomRAT в легитимния процес notepad.exe, друг инжектира XWorm, а останалите файлове инжектират AsyncRAT shellcode в explorer.exe. Всички варианти се свързват с едни и същи сървъри за управление и контрол през различни портове.

Forcepoint отбеляза, че нейните клиенти вече имат защита на няколко етапа от тази верига, включително блокиране на примамващите прикачени файлове, пренасочващите URL адреси, dropper файловете и трафика към сървърите за управление и контрол.

Продуктите им от тип NGFW също така прекратяват трансферите на LNK файлове и подозрителните PowerShell връзки по подразбиране. За всички останали съветът е прост:

Отнасяйте се към неочаквани имейли с фактури с повишено внимание, особено такива, изискващи спешно изтегляне, и избягвайте отварянето на ZIP прикачени файлове или преки пътища от неизвестни податели. Разрешаването на логването в PowerShell също може да помогне за ранното откриване на тази инфекция.

Forcepoint очаква повече подобни кампании занапред, тъй като евтината и лесна за подмяна инфраструктура позволява на престъпниците да разпространяват крадци на информация (infostealers) и троянски коне за отдалечен достъп (RAT) на ниска цена, като същевременно изпреварват списъците с блокирани адреси.