Campagnes AsyncRAT avec le crypteur 3LOSH qui obfusque les charges utiles

[post-views]
avril 06, 2022 · 4 min de lecture
Campagnes AsyncRAT avec le crypteur 3LOSH qui obfusque les charges utiles

Les campagnes de distribution de logiciels malveillants en cours diffusent AsyncRAT, y compris le crypteur 3LOSH dans les dépôts publics. La cybersécurité récente la recherche analyse la dernière version de 3LOSH qui est utilisée par les adversaires pour échapper à la détection sur les appareils dans les environnements d’entreprise. Outre AsyncRAT, un certain nombre d’autres logiciels malveillants de commodité peuvent être distribués par le même opérateur. Le but de cette augmentation de l’utilisation des crypteurs est d’accroître l’efficacité opérationnelle de RAT et, par conséquent, d’exfiltrer des données sensibles.

Les analystes de sécurité avertissent les organisations que les cyberattaques peuvent être exploitées par divers acteurs de la menace, tandis que la complexité d’outils comme le crypteur 3LOSH est continuellement mise à jour et améliorée. Voir nos nouvelles détections ci-dessous qui aident à repérer la dernière activité du crypteur 3LOSH.

3LOSH Builder/Crypter Détection

La nouvelle règle de détection basée sur Sigma écrite par notre prolifique développeur de primes de menaces Kyaw Pyiyt Htet reconnaît une exécution possible de 3LOSH basée sur la disponibilité de certains fichiers malveillants :

Exécution suspecte de 3LOSH (AsyncRAT) RAT par détection de fichiers malveillants (file_event)

Cette règle peut être automatiquement convertie pour les solutions de sécurité suivantes : Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys, AWS OpenSearch.

La règle Sigma est mappée à la dernière version de MITRE ATT&CK®, traitant de la tactique d’exécution et de la technique d’interpréteur de commandes et de scripts (T1059).

Depuis qu’AsyncRAT et 3LOSH dans leurs anciennes versions ont été repérés par les spécialistes du renseignement sur les menaces auparavant, vous pouvez profiter de nos précédentes détections et voir s’il y a autre chose que vous devriez ajouter à votre routine de chasse aux menaces. Si vous avez votre propre approche exclusive de la détection des cybermenaces et que vous souhaitez partager votre expertise avec le monde, vous êtes chaleureusement invité à rejoindre notre initiative de crowdsourcing.

Voir les détections Rejoindre la prime aux menaces

Charge utile d’AsyncRAT et analyse de 3LOSH

Un processus d’infection à plusieurs étapes exploité par AsyncRAT commence par un code VBScript exécuté à partir d’un fichier ISO. Le VBS utilise des données inutiles dans son contenu pour obscurcir le code qu’il exécute à l’aide de la substitution de chaînes. Après avoir désobstrué le code, ce VBS contacte un serveur C&C pour récupérer un script PowerShell permettant d’activer les prochaines étapes de l’exécution de RAT.

Pendant ces étapes, le logiciel malveillant pourrait choisir divers emplacements de répertoires et utiliser différents noms de fichiers qui sont, néanmoins, fonctionnellement équivalents. Finalement, le script scanne le système de la victime, puis crée un répertoire de travail pour le logiciel malveillant dans un certain emplacement qui ressemble à quelque chose de commun comme C:ProgramDataFacebookSystem32MicrosoftSystemData.

Après cela, des scripts supplémentaires sont créés, déclenchant l’exécution du fichier « Office.vbs » et passant à l’étape suivante du processus d’infection. La plupart des objectifs du RAT sont réalisés à ce troisième stade. Par exemple, pour établir la persistance, un autre script PowerShell crée et exécute immédiatement une nouvelle tâche planifiée portant le nom « Office » et la répète toutes les deux minutes. La charge utile finale peut varier, mais la plupart des échantillons analysés étaient AsyncRAT et LimeRAT.

Les chercheurs concluent que le crypteur 3LOSH est un crypteur de logiciels malveillants qui est actuellement en cours de développement actif, étant diffusé intégré dans différents RAT de commodité. Ainsi, la stratégie de détection efficace devrait inclure la capacité de repérer le crypteur indépendamment des charges utiles finales. Rejoignez la plateforme SOC Prime’s Detection as Code pour rester continuellement à jour sur le nouveau contenu de détection et être au courant des menaces actuelles.

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection de CVE-2025-8088 : une faille zero-day de WinRAR exploitée dans la nature pour installer le malware RomCom 6 min de lecture Dernières Menaces Détection de CVE-2025-8088 : une faille zero-day de WinRAR exploitée dans la nature pour installer le malware RomCom by Daryna Olyniychuk Vulnérabilité CVE-2025-6558 : Zero-Day Google Chrome en Exploitation Active 4 min de lecture Dernières Menaces Vulnérabilité CVE-2025-6558 : Zero-Day Google Chrome en Exploitation Active by Daryna Olyniychuk CVE-2025-25257 : Faille critique d’injection SQL dans FortiWeb permettant l’exécution de code à distance sans authentification 4 min de lecture Dernières Menaces CVE-2025-25257 : Faille critique d’injection SQL dans FortiWeb permettant l’exécution de code à distance sans authentification by Veronika Telychko
Toutes les actualités