Campañas de AsyncRAT presentan 3LOSH Crypter que ofusca cargas útiles

[post-views]
abril 06, 2022 · 3 min de lectura
Campañas de AsyncRAT presentan 3LOSH Crypter que ofusca cargas útiles

Las campañas de distribución de malware en curso están propagando AsyncRAT, incluido el 3LOSH crypter en repositorios públicos. La reciente investigación en ciberseguridad analiza la última versión de 3LOSH que está siendo utilizada por adversarios para evadir la detección en dispositivos en entornos corporativos. Además de AsyncRAT, una serie de otras cepas de malware de uso común pueden ser distribuidas por el mismo operador. El propósito de este aumento en el uso de crypters es aumentar la efectividad operativa de RAT y, como resultado, exfiltrar datos sensibles.

Los analistas de seguridad advierten a las organizaciones que los ataques cibernéticos pueden ser aprovechados por varios actores de amenazas, mientras que la complejidad de herramientas como el 3LOSH crypter está siendo continuamente actualizada y mejorada. Vea nuestras detecciones más recientes a continuación, las cuales ayudan a identificar la actividad más reciente del 3LOSH crypter.

3LOSH Builder/Crypter Detección

La nueva regla de detección basada en Sigma escrita por nuestro prolífico Desarrollador de Bounty de Amenazas Kyaw Pyiyt Htet reconoce la posible ejecución de 3LOSH basada en la disponibilidad de ciertos archivos maliciosos:

Ejecución sospechosa de 3LOSH (AsyncRAT) RAT por detección de archivos maliciosos (file_event)

Esta regla puede ser convertida automáticamente a las siguientes soluciones de seguridad: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys, AWS OpenSearch.

La regla Sigma está mapeada a la última versión de MITRE ATT&CK®, abordando la táctica de Ejecución y la técnica de Intérprete de Comandos y Scripting (T1059).

Dado que AsyncRAT y 3LOSH en sus versiones anteriores fueron observados por especialistas en inteligencia de amenazas antes, puede aprovechar nuestras detecciones previas y ver si hay algo más que deba añadir a su rutina de caza de amenazas. Si tiene su propio enfoque exclusivo para detectar amenazas cibernéticas y se esfuerza por compartir su experiencia con el mundo, le damos una cordial bienvenida a unirse a nuestra iniciativa de crowdsourcing.

Ver Detecciones Únete a Threat Bounty

Cargas útiles de AsyncRAT y Análisis de 3LOSH

Un proceso de infección de múltiples etapas aprovechado por AsyncRAT comienza con código VBScript que se ejecuta desde un archivo ISO. El VBS utiliza datos basura en sus contenidos para ofuscar el código que ejecuta con la ayuda del reemplazo de cadenas. Después de la desofuscación del código, este VBS contacta a un servidor C&C para recuperar un script PowerShell para habilitar las siguientes etapas de la ejecución de RAT.

Durante estas etapas, el malware puede elegir varias ubicaciones de directorios y usar varios nombres de archivos que, no obstante, son funcionalmente equivalentes. En última instancia, el script escanea el sistema de la víctima, luego crea un directorio de trabajo para el malware en una ubicación determinada que se asemeja a algo común como C:ProgramDataFacebookSystem32MicrosoftSystemData.

Después de eso, se crean scripts adicionales, activando la ejecución del archivo «Office.vbs» y avanzando al siguiente paso del proceso de infección. La mayoría de los objetivos de RAT se realizan en esta tercera etapa. Por ejemplo, para establecer la persistencia, otro script PowerShell crea e inmediatamente ejecuta una nueva Tarea Programada con el nombre «Office» y la repite cada dos minutos. La carga útil final puede variar, sin embargo, la mayoría de las muestras analizadas fueron AsyncRAT y LimeRAT.

Los investigadores concluyen que 3LOSH crypter es un crypter de malware que actualmente está en desarrollo activo, siendo propagado incrustado en diferentes RATs de uso común. Por lo tanto, la estrategia de detección efectiva debe incluir la capacidad de detectar el crypter independientemente de las cargas útiles finales. Únase a la plataforma Detection as Code de SOC Prime para mantenerse continuamente actualizado sobre el nuevo contenido de detección y estar al tanto de las amenazas actuales.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de CVE-2025-8088: El Día Cero de WinRAR es Activamente Explotado en la Naturaleza para Instalar Malware RomCom 5 min de lectura Últimas Amenazas Detección de CVE-2025-8088: El Día Cero de WinRAR es Activamente Explotado en la Naturaleza para Instalar Malware RomCom by Daryna Olyniychuk CVE-2025-6558: Vulnerabilidad Zero-Day en Google Chrome Bajo Explotación Activa 4 min de lectura Últimas Amenazas CVE-2025-6558: Vulnerabilidad Zero-Day en Google Chrome Bajo Explotación Activa by Daryna Olyniychuk CVE-2025-25257: Vulnerabilidad crítica de inyección SQL en FortiWeb permite ejecución remota de código sin autenticación 4 min de lectura Últimas Amenazas CVE-2025-25257: Vulnerabilidad crítica de inyección SQL en FortiWeb permite ejecución remota de código sin autenticación by Veronika Telychko
Todas las noticias