Un análisis exhaustivo del ecosistema en expansión de Asyncrat, que revela una red laberíntica de variantes de malware que han evolucionado mucho más allá de las capacidades de los troyanos de acceso remoto original.
La naturaleza de código abierto de Asyncrat, lanzado por primera vez en GitHub en 2019, ha generado numerosos horquillas sofisticadas que incorporan técnicas de evasión mejoradas, complementos novedosos y vectores de ataque especializados que representan amenazas significativas para la ciberseguridad en todo el mundo.
Control de llave
1. La naturaleza de código abierto de Asyncrat generó numerosas horquillas, con campañas de malware que dominan Dcrat y Venomrat a través de una modularidad mejorada y capacidades de sigilo.
2. Las variantes principales usan parches AMSI/ETW, serialización de MessagePack y sistemas antiprocesos para evadir la detección y terminar herramientas de seguridad como TaskMgr.exe.
3. Los complementos exóticos incluyen Screamer.dll (asustos de salto), wormb.dll (extensión de malware USB) y cliper.dll (secuestro de billetera de criptomonedas).
4. La accesibilidad de código abierto reduce las barreras de delitos cibernéticos, que requiere un análisis de comportamiento proactivo para contrarrestar las variantes de amenazas que evolucionan rápidamente.
Amenazas avanzadas de DCRAT y VENOMRAT
Investigadores de ESET identificado DCRAT y VENOMRAT como los derivados de asíncrat más frecuentes, que representan colectivamente la mayoría de las campañas de malware observadas en la naturaleza.
DCRAT representa una evolución significativa del marco de Asyncrat original, implementando técnicas de evasión avanzada, incluidos los parches AMSI y ETW, que funcionan al deshabilitar las características de seguridad que detectan y registran el comportamiento malicioso.
La variante utiliza MessagePack para una serialización eficiente de datos binarios y presenta un sistema antiprocesos que termina herramientas de seguridad como TaskMgr.exe, ProcessHacker.exe y Msmpeng.exe.
Venomrat, probablemente inspirado en DCRAT, ha estado repleto de extensas características que los investigadores consideran casi una amenaza separada por completo.
Lista de jerarquía de horquilla extendida
Las variantes de malware se pueden identificar a través del análisis de configuración, donde el campo de la versión típicamente contiene descripciones significativas del nombre de la horquilla o el seudónimo del autor de malware.
Los métodos de identificación alternativos incluyen examinar los valores de sal utilizados para el cifrado AES-256 y el análisis de certificados integrados que autentican servidores de comando y control.
Complementos especializados con nuevas capacidades de ataque
Los horquillas menos conocidos como Noneuclid Rat han introducido complementos especializados que extienden la funcionalidad de Asyncrat más allá de las capacidades de acceso remoto convencionales.
El complemento Screamer.dll sirve como una herramienta de miedo de salto con cinco imágenes incorporadas y soporte de archivo WAV, mientras que Piano.dll funciona como un reproductor de audio genérico que almacena archivos en %AppData %\ piano.
Más preocupante es el complemento Wormb.dll, que compromete archivos PE con cargas útiles arbitrarias en múltiples ubicaciones, incluidas carpetas personales y unidades externas.
El complemento Cliper.dll representa un sofisticado mecanismo de robo de criptomonedas que monitorea el contenido del portapapeles y reemplaza las direcciones de billetera detectadas con alternativas controladas por atacantes.
Jasonrat emplea convenciones oscuras de nombres de variables que recuerdan a términos “satánicos” y utiliza un código Morse extendido para la ofuscación de cadenas, mientras que Xiebrorat presenta localización china e integra herramientas como Mimikatz y Sharpwifigrabber.
La propagación de las horquillas de Asyncrat resalta los riesgos inherentes de los marcos de malware de código abierto, que reducen significativamente la barrera de entrada para los aspirantes a ciberdelincuentes.
El paisaje de amenaza en expansión exige estrategias de detección proactiva y un análisis de comportamiento más profundo para abordar de manera efectiva las variantes emergentes que pueden incorporar capacidades de ofuscación, modularidad y evasión más avanzadas.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
