AsyncRAT в ASP.NET: как хакеры в два клика обходят антивирусную защиту и тайно собирают пароли

AsyncRAT в ASP.NET: как хакеры в два клика обходят антивирусную защиту и тайно собирают пароли

Эксперты Trend Micro подробно проанализировали тактику злоумышленников и сообщили, как избежать атаки.

image

Исследователи в области кибербезопасности компании Trend Micro проанализировали несколько инцидентов, связанных с внедрением вредоносной программы AsyncRAT. Злоумышленники использовали уязвимость легитимного процесса «aspnet_compiler.exe» от Microsoft, предназначенного для предварительной компиляции веб-приложений на платформе ASP.NET. Это позволило хакерам незаметно загружать вредоносный код.

AsyncRAT обладает различными возможностями удалённого доступа, такими как кейлоггинг, управление рабочим столом и скрытое изменение файлов. Это делает его мощным инструментом для проведения самых разных по направленности атак. В частности, в начале 2023 года эксперты Trend Micro обнаружили случаи использования AsyncRAT вместе с программами-вымогателями.

Во всех проанализированных инцидентах первым этапом атаки было скачивание пользователем запароленного ZIP-архива. Распаковав архив, жертва запускала вредоносный WSF-скрипт, который, в свою очередь, скачивал ещё один ZIP-архив с дополнительными скриптами AsyncRAT.

Эти скрипты в конечном итоге выполняли инъекцию полезной нагрузки AsyncRAT в процесс «aspnet_compiler.exe», что позволяло вредоносному ПО действовать скрытно, собирая такую информацию, как имена и пароли пользователей, данные о компьютере, наличие антивирусов и криптокошельков.

Исследовав исходный код AsyncRAT, эксперты обнаружили сходство с открытым репозиторием на GitHub. Однако вредоносный образец содержал дополнительные функции, из чего можно сделать вывод, что злоумышленники тонко настраивают открытый код под свои цели.

Как отмечают эксперты, использование динамических DNS-серверов позволяло злоумышленникам быстро менять IP-адреса и доменные имена серверов управления AsyncRAT. Это затрудняет их выявление и блокировку системами безопасности.

Специалисты Trend Micro рекомендуют организациям внедрить решения для непрерывного мониторинга и быстрого реагирования на инциденты кибербезопасности, чтобы обезопасить свои сети и устройства.

Кроме того, совсем не лишним будет отключить использование макросов и сценариев PowerShell/WSF/JS на компьютерах сотрудников, если они не должны пользоваться ими в рамках стандартных рабочих процессов. Да и в целом, на улучшение кибергигиены сотрудников стоит регулярно направлять время и ресурсы, в будущем это поможет сэкономить гораздо больше.

Ньютон уронил яблоко. Мы роняем челюсти!

Гравитация научных фактов сильнее, чем вы думаете

Подпишитесь и испытайте интеллектуальное падение