Новости AsyncRAT в ASP.NET: как хакеры в два клика обходят антивирусную защиту и тайно собирают пароли

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Эксперты Trend Micro подробно проанализировали тактику злоумышленников и сообщили, как избежать атаки.


2x2evphetggq7dhzmgfhleu73932r8qo.jpg


Исследователи в области кибербезопасности компании Trend Micro Для просмотра ссылки Войди или Зарегистрируйся несколько инцидентов, связанных с внедрением вредоносной программы AsyncRAT . Злоумышленники использовали уязвимость легитимного процесса «aspnet_compiler.exe» от Microsoft , предназначенного для предварительной компиляции веб-приложений на платформе ASP.NET. Это позволило хакерам незаметно загружать вредоносный код.

AsyncRAT обладает различными возможностями удалённого доступа, такими как кейлоггинг, управление рабочим столом и скрытое изменение файлов. Это делает его мощным инструментом для проведения самых разных по направленности атак. В частности, в начале 2023 года эксперты Trend Micro обнаружили случаи использования AsyncRAT вместе с программами-вымогателями.

Во всех проанализированных инцидентах первым этапом атаки было скачивание пользователем запароленного ZIP-архива. Распаковав архив, жертва запускала вредоносный WSF-скрипт, который, в свою очередь, скачивал ещё один ZIP-архив с дополнительными скриптами AsyncRAT.

Эти скрипты в конечном итоге выполняли инъекцию полезной нагрузки AsyncRAT в процесс «aspnet_compiler.exe», что позволяло вредоносному ПО действовать скрытно, собирая такую информацию, как имена и пароли пользователей, данные о компьютере, наличие антивирусов и криптокошельков.

Исследовав исходный код AsyncRAT, эксперты обнаружили сходство с открытым репозиторием на GitHub . Однако вредоносный образец содержал дополнительные функции, из чего можно сделать вывод, что злоумышленники тонко настраивают открытый код под свои цели.

Как отмечают эксперты, использование динамических DNS -серверов позволяло злоумышленникам быстро менять IP-адреса и доменные имена серверов управления AsyncRAT. Это затрудняет их выявление и блокировку системами безопасности.

Специалисты Trend Micro рекомендуют организациям внедрить решения для непрерывного мониторинга и быстрого реагирования на инциденты кибербезопасности, чтобы обезопасить свои сети и устройства.

Кроме того, совсем не лишним будет отключить использование макросов и сценариев PowerShell/WSF/JS на компьютерах сотрудников, если они не должны пользоваться ими в рамках стандартных рабочих процессов. Да и в целом, на улучшение кибергигиены сотрудников стоит регулярно направлять время и ресурсы, в будущем это поможет сэкономить гораздо больше.
 
Источник новости
www.securitylab.ru

Похожие темы