AsyncRAT Distribuido a Través de Campañas Amenazantes Temáticas de Inteligencia Artificial
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Los actores de la amenaza están capitalizando engaños con temática de IA para distribuir una cadena de infección de malware multicapa. El ataque combina scripts por etapas, cargadores basados en AutoHotkey y vaciado de procesos para desplegar tanto un troyano de acceso remoto .NET como AsyncRAT. Un aspecto notable de la campaña es el aparente uso de desarrollo asistido por IA, reflejado en nombres de variables en chino simplificado y comentarios de código integrados en todo el malware.
Investigación
FortiGuard Labs examinó una secuencia de intrusión compleja que comenzó con un archivo ZIP malicioso que contenía un archivo LNK. Su análisis desveló varias etapas de extracción de cargas desde un contenedor basado en PDF, seguidas de inyección reflexiva impulsada por AutoHotkey y despliegue final de un RAT modular .NET junto a AsyncRAT. Los investigadores también documentaron métodos de ofuscación distintivos, incluida la abstracción semántica en idioma chino y lógica de descifrado personalizada diseñada para ocultar el comportamiento del malware.
Mitigación
Los usuarios deben ser especialmente cautelosos con los archivos LNK, archivos comprimidos y documentos recibidos de fuentes no confiables o inesperadas. Las organizaciones deben revisar las entradas de inicio, tareas programadas y ubicaciones del registro para cambios no autorizados. El monitoreo de actividades sospechosas de PowerShell y conexiones de red salientes inusuales también es esencial para identificar las etapas iniciales de compromiso.
Respuesta
Si se detecta esta actividad, los respondedores deben realizar una revisión forense de los %LOCALAPPDATA% and %APPDATA% directorios para identificar scripts descargados y artefactos relacionados. Se debe revisar el Programador de Tareas para tareas sospechosas como CheckRealtekAudioVersion or ResetRealtekAudioSettings64. Los sistemas afectados deben ser aislados inmediatamente para prevenir más comunicación con los dominios e IPs maliciosos identificados.
Diagrama de flujo del ataque
Detecciones
La posibilidad de ejecución a través de líneas de comando PowerShell ocultas (a través de cmdline)
Ver
Posible intento de ejecución de script AutoHotkey (a través de cmdline)
Ver
LOLBAS WScript / CScript (a través de creación_proceso)
Ver
Cadenas de PowerShell sospechosas (a través de PowerShell)
Ver
Llamada a métodos .NET sospechosos desde PowerShell (a través de PowerShell)
Ver
Posibles indicadores de ofuscación de PowerShell (a través de PowerShell)
Ver
IOCs (HashSha256) para detectar: Actores de amenaza aprovechan el bombo de la IA para entregar AsyncRAT
Ver
IOCs (SourceIP) para detectar: Actores de amenaza aprovechan el bombo de la IA para entregar AsyncRAT
Ver
IOCs (DestinationIP) para detectar: Actores de amenaza aprovechan el bombo de la IA para entregar AsyncRAT
Ver
Command-and-Control de AsyncRAT usando cifrado RijndaelManaged [Windows Sysmon]
Ver
Detección de comunicación de dominio de AsyncRAT C2 [Conexión de red de Windows]
Ver
Ejecución sospechosa de PowerShell con ventanas ocultas y omisión de seguridad [Windows PowerShell]
Ver
Detectar vaciado de procesos a través de creación de procesos sospechosos [Creación de procesos de Windows]
Ver
Ejecución de simulación
Requisito previo: el chequeo pre-vuelo de telemetría y línea base debe haber sido aprobado.
Razonamiento: esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.
-
Narrativa y comandos del ataque: Un adversario ha obtenido acceso inicial y se prepara para establecer un canal de Comando y Control (C2) persistente usando AsyncRAT. Para evadir la detección basada en firmas de red, el atacante utiliza la
RijndaelManagedclase .NET para cifrar el tráfico. El atacante ejecuta una línea de comando de PowerShell que instancia el cifrador, con la intención de envolver el latido del C2 en una carga útil cifrada. Este comando está diseñado para activar la regla de detección basada en cadenas específicas. -
Script de prueba de regresión:
# Simulación de la instanciación de cifrado al estilo AsyncRAT en PowerShell # Este comando está diseñado para coincidir con la cadena 'RijndaelManaged.CreateEncryptor' en la línea de comando. $code = "[System.Security.Cryptography.RijndaelManaged]::CreateEncryptor()" powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "$encryptor = [System.Security.Cryptography.RijndaelManaged]::CreateEncryptor(); Write-Output 'Encryption engine initialized.'" -
Comandos de limpieza:
# No se hicieron cambios persistentes por el script de simulación; sin embargo, # se limpia el historial de PowerShell para eliminar rastros del comando. Clear-History Remove-Item (Get-PSReadlineOption).HistorySavePath -ErrorAction SilentlyContinue