Escrito por Lakshya Mathur y Vignesh Dhatchanamoorthy AsyncRAT, abreviatura de “Troyano de acceso remoto asíncrono”, es un sofisticado malware diseñado para comprometer la seguridad de los sistemas informáticos y robar información confidencial. Lo que diferencia a AsyncRAT de otras cepas de malware es su naturaleza sigilosa, lo que lo convierte en un adversario formidable en el mundo de la ciberseguridad. McAfee Labs ha observado una campaña reciente de AsyncRAT que se distribuye a través de un archivo HTML malicioso. Toda esta estrategia de infección emplea una variedad de tipos de archivos, incluidos PowerShell, Windows Script File (WSF), VBScript (VBS) y más, para evitar las medidas de detección antivirus. Figura 1: Prevalencia de AsyncRAT durante el último mes Análisis técnico Un destinatario recibe un correo electrónico no deseado que contiene un enlace web nefasto. Cuando se accede a este enlace, se activa la descarga de un archivo HTML. Dentro de este archivo HTML, se incrusta un archivo ISO y este archivo de imagen ISO alberga un WSF (archivo de script de Windows). Posteriormente, el archivo WSF establece conexiones con varias URL y procede a ejecutar múltiples archivos en formatos como PowerShell, VBS (VBScript) y BAT. Estos archivos ejecutados se emplean para llevar a cabo una inyección de proceso en RegSvcs.exe, una utilidad legítima de Microsoft .NET. Esta manipulación de RegSvcs.exe permite al atacante ocultar de forma encubierta sus actividades dentro de una aplicación de sistema confiable. Cadena de infección Figura 2: Cadena de infección Etapa 1: Análisis de archivos HTML y WSF La secuencia comienza con una URL maliciosa encontrada en el correo electrónico, que inicia la descarga de un archivo HTML. Dentro de este archivo HTML, se incrusta un archivo ISO. Se utiliza JavaScript adicional para extraer el archivo de imagen ISO. Figura 3 – Contenido del archivo HTML Figura 4 – Archivo ISO extraído cuando se ejecuta HTML Dentro del archivo ISO hay un script WSF etiquetado como “FXM_20231606_9854298542_098.wsf”. Este archivo incorpora cadenas de datos basura, intercaladas con archivos «» y ««Etiquetas (como se indica en la Figura 5 y resaltadas en rojo). Estas etiquetas son responsables de establecer una conexión con la URL “hxxp://45.12.253.107:222/f[.]txt” para recuperar un archivo de PowerShell. Figura 5 – Contenido del archivo WSF Etapa 2: Análisis de archivos PowerShell La URL “hxxp://45.12.253.107:222/f[.]txt” recupera un archivo de texto que contiene código de PowerShell. Figura 6: Contenido del primer archivo de PowerShell. Posteriormente, el código de PowerShell inicial establece una conexión a otra URL, “hxxp://45.12.253.107:222/j[.]jpg” y recupera el segundo archivo de PowerShell. Figura 7: Contenido del segundo archivo de PowerShell El script de PowerShell coloca cuatro archivos en la carpeta ProgramData, incluidos dos archivos de PowerShell, un archivo VBS y un archivo BAT. El contenido de estos cuatro archivos está integrado en este script de PowerShell. Luego procede a crear una carpeta llamada «xral» en el directorio ProgramData, donde escribe y extrae estos archivos, como se muestra en la Figura 8. Figura 8: Segundo PowerShell creando 4 archivos y escribiendo contenido en ellos usando [IO.File]::Comando WriteAllText Figura 9: Archivos extraídos en la carpeta “ProgramData/xral” Etapa 3: Análisis de archivos colocados en la carpeta ProgramData Después de esto, el script de PowerShell ejecuta “xral.ps1”, que es responsable de establecer una tarea programada para lograr la persistencia. Además, inicia la ejecución del archivo “xral.vbs”. Figura 10 – Contenido del archivo VBS El script VBS procede a ejecutar el archivo “1.bat”, que, a su vez, es responsable de ejecutar el script final de PowerShell, “hrlm.ps1”. En pocas palabras, después del segundo powershell, la ejecución es así: xral.ps1 -> xral.vbs -> 1.bat -> hrlm.ps1 Estas diversas ejecuciones de diferentes tipos de archivos se emplean estratégicamente para evitar tanto los archivos estáticos como los basados ​​en el comportamiento. detecciones antivirus. Etapa 4: Análisis del archivo PowerShell final Figura 11 – Contenido del archivo PowerShell final Como se muestra en la figura anterior, este archivo PowerShell contiene un archivo PE (Portable Executable) en formato hexadecimal. Este archivo está destinado a ser inyectado en un proceso legítimo. En el segundo cuadro resaltado en rojo, es evidente que los atacantes han ofuscado el nombre del proceso, que será revelado después de realizar una operación de reemplazo. Ahora es evidente que este archivo PE está diseñado para inyectarse en “C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe”. La inyección de proceso se logra a través de la funcionalidad de carga de Reflection Assembly del archivo PowerShell, que permite el acceso y la invocación de datos .NET desde PowerShell. Después de la inyección del proceso, la utilidad RegSvcs se inicia y ejecuta sin ningún parámetro adicional. Etapa 5: Análisis de RegSvcs.exe infectado Una vez que PowerShell inyecta exitosamente código malicioso en RegSvcs, el RegSvcs.exe comprometido se ejecuta y el servidor AsyncRAT establece una conexión con él. Los artefactos de la ejecución de RegSvcs.exe infectado se ilustran en la Figura 12. Figura 12: Cadenas del servidor AsyncRAT en RegSvcs Un análisis adicional descubrió que esta muestra posee capacidades de registro de teclas. Registró todas las actividades realizadas en el sistema después de la replicación y almacenó esta información en un archivo «log.tmp» dentro de la carpeta TEMP para fines de mantenimiento de registros. Figura 13: Archivo de registro creado en la carpeta %temp% que registra todas las pulsaciones de teclas. Además, esta muestra participó activamente en el robo de credenciales y datos relacionados con el navegador. Además, intentó buscar información relacionada con las criptomonedas, incluidos datos relacionados con Bitcoin, Ethereum y activos similares. Los datos adquiridos ilícitamente se transmitían a través de TCP a la dirección IP 45[.]12.253.107 en el puerto 8808. Figura 14 – Información TCP de RegSvcs.exe Resumen La cadena de infección comienza con una URL maliciosa incrustada en un correo electrónico no deseado, lo que conduce a la descarga de un archivo HTML que contiene una ISO. Dentro del archivo ISO, un script WSF se conecta a URL externas y descarga un script de PowerShell, que, a su vez, inicia una serie de ejecuciones de archivos que no son PE y, en última instancia, inyecta un archivo PE codificado en hexadecimal en el legítimo «RegSvcs.exe». Este proceso comprometido se conecta a un servidor AsyncRAT. El malware exhibe capacidades de registro de teclas, registra las actividades de los usuarios y roba credenciales, datos del navegador e información relacionada con las criptomonedas. Los datos se extraen a través de TCP a una dirección IP y un puerto. Esta intrincada cadena aprovecha diversos tipos de archivos y métodos de ofuscación para evitar la detección, lo que en última instancia da como resultado que los atacantes obtengan control remoto y roben datos con éxito. Archivo de indicador de compromiso (IOC) SHA256/URL HTML 83c96c9853245a32042e45995ffa41393eeb9891e80ebcfb09de8fae8b5055a3 ISO 97f91122e541b38492ca2a7c781bb9f6b0a2e98e5b048ec 291d98c273a6c3d62 FSM ac6c6e196c9245cefbed223a3b02d16dd806523bba4e74ab1bcf55813cc5702a PS1 0159bd243221ef7c5f392bb43643a5f73660c03dc2f74e8ba5 0e4aaed6c6f531 PS1 f123c1df7d17d51115950734309644e05f3a74a5565c822f17c1ca22d62c3d99 PS1 19402c43b620b96c53b03b5bcfeaa0e645f0eff0bc6e9d1 c78747fafbbaf1807 VBS 34cb840b44befdd236610f103ec1d0f914528f1f256d9ab375ad43ee2887d8ce BAT 1c3d5dea254506c5f7c714c0b05f6e2241a25373225a6a7792 9e4607eb934d08 PS1 83b29151a192f868362c0ecffe5c5fabe280c8baac335c79e8950fdd439e69ac URL hxxp://45.12.253[.]107:222/f[.]texto hxxp://45.12.253[.]107:222/j[.]jpg Presentamos McAfee+ Protección contra robo de identidad y privacidad para su vida digital Descargue McAfee+ ahora \x3Cimg height=»1″ width=»1″ style=»display:none» src=»https://www.facebook.com/tr?id =766537420057144&ev=PageView&noscript=1″ />\x3C/noscript>’);