AsyncRAT доставляється через загрози пов’язані із штучним інтелектом

"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef technique fill:#ffff99 %% Node Definitions %% Initial Stage action_user_exec["<b>Дія</b> – <b>T1204.002 Виконання користувача: шкідливий файл</b><br/>Користувач відкриває стиснутий архів, що містить<br/>шкідливе .lnk ярлик, замасковане як гайд по ШІ."] class action_user_exec action action_obfuscation["<b>Дія</b> – <b>T1027 Обфусковані файли або інформація</b><br/>.lnk файл використовує cmd.exe для виконання<br/>обфускованої послідовності команд для вилучення даних<br/>з прихованого PDF-файлу під назвою 3th.pdf."] class action_obfuscation technique %% Staged Execution action_ps_decryption["<b>Дія</b> – <b>T1027.013 Обфусковані файли або інформація: Зашифрований/Закодований Файл</b><br/>Скрипт PowerShell виконує розшифрування AES-CBC<br/>та декодування Base64 для виявлення корисного навантаження<br/>збереженого як Cache_{GUID}.ps1."] class action_ps_decryption technique %% Persistence and Evasion action_persistence["<b>Дія</b> – <b>T1547 Стійкість</b><br/>Скрипт створює заплановане завдання під назвою<br/>CheckRealtekAudioVersion для забезпечення виживання."] class action_persistence technique action_exclusion["<b>Дія</b> – <b>T1679 Селективне Виняток</b><br/>Шкідливе ПЗ використовує Add-MpPreference для додавання<br/>диска C і powershell.exe у список винятків<br/>Microsoft Defender."] class action_exclusion technique %% Proxying and Scripting action_cmd_shell["<b>Дія</b> – <b>T1059.003 Інтерпретатор команд і скриптів: Windows Command Shell</b><br/>Використовує Windows Command Shell для виконання."] class action_cmd_shell technique action_syncappv["<b>Дія</b> – <b>T1216.002 Виконання системного скрипта-проксі: SyncAppvPublishingServer</b><br/>Використовує файл VBS ResetRealtekAudioSettings64.vbs<br/>для дії як посередник для запуску batch-файлів."] class action_syncappv technique %% AutoHotkey Stage tool_autohotkey["<b/>Tool: AutoHotkey.exe<br/>Обробник використовується для виконання шкідливих<br/>.ahk скриптів для складної логіки."] class tool_autohotkey tool action_ahk_interpreter["<b/>Дія – <b>T1059.010 Інтерпретатор команд і скриптів: AutoHotKey & AutoIT</b><br/>.ahk скрипти керують ін’єкцією процесу<br/>та оркестрацією."] class action_ahk_interpreter technique %% Injection and Payload action_hollowing["<b/>Дія – <b>T1055.012 Ін’єкція процесу: Заглиблення процесу</b><br/>Реконструює корисне навантаження PE з текстових даних<br/>та ін’єкціонує його в легітимні .NET процеси."] class action_hollowing technique process_dotnet["<b/>Процес: .NET Процес<br/>Цільовий легітимний процес, такий як<br/>AddInProcess32.exe для ін’єкції."] class process_dotnet process malware_asyncrat["<b/>Шкідливе ПЗ: AsyncRAT<br/>Модульний троян віддаленого доступу .NET<br/>розгорнутий як кінцеве корисне навантаження."] class malware_asyncrat malware action_exfiltration["<b/>Дія – <b>T1048 Експільтрація через альтернативний протокол</b><br/>Експільтрує системну інформацію та проводить<br/>моніторинг через домени C2, такі як shampobiskworld.nl."] class action_exfiltration technique %% Connections %% Initial chain action_user_exec –>|веде до| action_obfuscation action_obfuscation –>|викликає| action_ps_decryption %% Persistence and Evasion chain action_ps_decryption –>|встановлює| action_persistence action_ps_decryption –>|виконує| action_exclusion %% Scripting and Proxying chain action_ps_decryption –>|використовує| action_cmd_shell action_cmd_shell –>|використовує| action_syncappv %% AutoHotkey chain action_syncappv –>|виконує| tool_autohotkey tool_autohotkey –>|використовує| action_ahk_interpreter %% Injection chain action_ahk_interpreter –>|виконує| action_hollowing action_hollowing –>|ін’єкціонує у| process_dotnet %% Final Payload chain process_dotnet –>|гостить| malware_asyncrat malware_asyncrat –>|виконує| action_exfiltration "

Потік атаки