Информационная безопасность с разных точек зрения

Информационная безопасность с разных точек зрения

Новости ИБ
Мнения экспертов и регуляторов, обзоры средств защиты информации, вакансии и работа.

Новая фишинговая кампания доставляет вредоносное ПО AsyncRAT

Печально известная вредоносная программа AsyncRAT снова появилась в сети в результате фишинговой кампании. На этот раз злоумышленники разработали хитрую стратегию, чтобы избежать обнаружения большинством инструментов безопасности.

Печально известная вредоносная программа AsyncRAT снова появилась в сети в результате фишинговой кампании. На этот раз злоумышленники разработали хитрую стратегию, чтобы избежать обнаружения большинством инструментов безопасности.

Фишинг вредоносных программ AsyncRAT активен в дикой природе

Согласно сообщению исследователей Morphisec, активная фишинговая кампания заражает жертв вредоносным ПО AsyncRAT.

В частности, AsyncRAT впервые привлекла внимание в середине 2021 года, когда была специально нацелена на аэрокосмический и туристический секторы. Как и любой другой троян, AsyncRAT (или RevengeRAT) также нацелен на кражу данных жертвы.

И теперь он снова активен против различных организаций посредством скрытой фишинговой кампании.

Как уточняется, фишинговые электронные письма, доставляющие это вредоносное ПО, содержат вложение в формате HTML, при открытии которого пользователю предлагается загрузить файл ISO. Хотя жертва считает, что загруженный файл пройдет проверку безопасности, на самом деле он избегает их всех. Это потому, что файл ISO никогда не поступает с сервера, а из вложения HTML.

Объясняя это явление, исследователи заявили,

Файл ISO не доставляется по сети в виде файлового BLOB-объекта, а вместо этого доставляется в виде строки base64. Эта функция base64toblob получает строку в кодировке Base64 в качестве входных данных и отвечает за декодирование в ASCII с помощью window.atob. Затем результат преобразуется в массив байтов, из которого создается новый большой двоичный объект. Тип BLOB-объекта задается в соответствии с заданным типом mime (в данном случае — application/octet-stream)… BLOB-объект внедряется как часть объекта URL, имитируя загрузку файла ISO, как если бы он был доставлен удаленно.

При открытии этого ISO-файла выполняется следующий шаг внедрения дроппера вредоносного ПО (модуль .NET), который затем выполняет различные обходные проверки, чтобы пропустить обнаружение. В конечном итоге вредоносное ПО AsyncRAT достигает устройства в качестве конечной полезной нагрузки.

Учитывая скрытность, пользователи должны оставаться очень осторожными, нажимая на вложения электронной почты. В идеале, пользователи должны избегать кликов по любым незапрашиваемым электронным письмам (даже от законных отправителей) до тех пор, пока они не будут отдельно проверены на достоверность электронного письма.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Спасибо!

Теперь редакторы в курсе.