Monday, June 5, 2023
Latest:

Malware Removed

Holen Sie sich die neuesten Updates für PC-Bedrohungen

News 

AsyncRAT-Malware wird mit neuen Ausweichtaktiken verbreitet

William Stuart

Mit dem Ziel, AsyncRAT-Malware zu verbreiten, bedienen sich Cyberkriminelle einer neuen vagen Taktik. Dieser neue Phishing-Angriff wurde angeblich im September 2021 initiiert und wird immer noch verwendet. Sicherheitsforscher haben diesen ausgeklügelten Angriff identifiziert, der zur Verbreitung des Trojaner-Virus als Teil einer Malware-Kampagne eingesetzt wird.

Michael Deroviashkin, ein Sicherheitsforscher bei Morphisec, einem Unternehmen für Sicherheitsverletzungen in Unternehmen, berichtete, dass die Angreifer zur Verbreitung von AsyncRAT (Remote Access Trojan) einfache Spam-E-Mails mit einem bösartigen HTML-Anhang verwenden.

Mit dieser fiesen RAT können Cyberkriminelle eine Fernverbindung zu den verseuchten Systemen aufbauen. Nachdem sie Zugriff und Kontrolle über das infizierte Gerät erhalten haben, führen sie eine Reihe von hasserfüllten Aktivitäten aus, darunter die Verbreitung von Malware, der Diebstahl sensibler Daten oder die Beobachtung der Aktivitäten der Opfer über Mikrofone und Kameras. AsyncRAT besitzt eine Vielzahl von boshaften Fähigkeiten, die seinen Entwicklern helfen, die PCs, auf denen es sich befindet, vollständig zu überwachen und zu kontrollieren. Oftmals wirken solche Malware-Bedrohungen zusammen mit anderen Cyber-Infektionen.

Das Eindringen dieses gefährlichen Trojaner-Virus erfolgt im Allgemeinen, wenn eine Phishing-E-Mail mit einem HTML-Anhang an den Posteingang der Benutzer gesendet wird. Die angehängte Datei ist als Bestellbestätigung getarnt (z. B. Quittung-[einige Ziffern].html). Sobald die Empfänger die verlockende Datei öffnen, landen sie auf einer Webseite, auf der sie aufgefordert werden, eine ISO-Datei zu speichern.

Im Gegensatz zu anderen RAT-Verbreitungsmethoden, bei denen die Zielopfer auf eine Phishing-Site umgeleitet werden, deren Hauptzweck darin besteht, Besucher dazu zu verleiten, die Malware der nächsten Stufe herunterzuladen, nutzt die neueste Phishing-Kampagne JavaScript, um in der Nähe eine zu generieren ISO-Datei aus einer Base64-codierten Zeichenfolge und imitieren den Vorgang des Herunterladens.

Deroviashkin berichtete auch, dass der ISO-Download im Browser des Opfers durch einen JavaScript-Code erstellt wird, der in die HTML-Quittungsdatei eingefügt wird, anstatt von einem Remote-Server.

Sobald die ISO-Datei geöffnet wird, wird sie automatisch als DVD-Laufwerk auf dem Windows-Host eskaliert und enthält entweder eine .BAT- oder eine .VBS-Datei. Diese Datei lässt durch Ausführen eines PowerShell-Befehls die Infektionssequenz auf die nächste Ebene übergehen.

Aus diesem Grund wird ein .NET-Modul im Speicher ausgeführt, wodurch drei Dateien gelöscht werden. Jeder von ihnen bewirkt, dass die Infektionskette zur nächsten Stufe übergeht, d. h. AsyncRAT als letzte Nutzlast zu liefern. Das genaue Modul, in dem .Net ausgeführt wird, prüft auch auf Antivirensoftware und versucht, den Windows Defender und andere Dinge fernzuhalten.

Darüber hinaus konzentriert sich der Bericht von Morphisec auch auf die Auswirkungen der ausgeklügelten Taktiken der Kampagne, aufgrund derer der Virus von den meisten Antimalware-Suiten fast unentdeckt bleibt, obwohl die Malware-Verbreitungsoperation seit fast fünf Monaten existiert. Gemäß den offenbarten Informationen ist AsyncRAT so programmiert, dass es über eine geschützte, verschlüsselte Verbindung aus der Ferne auf seine infizierten Geräte zugreift und diese steuert.