SOC Prime Bias: Alto

12 Jun 2026 06:27 UTC

Entrega do AsyncRAT em Campanhas de Ameaças com Temática de IA

Author Photo
SOC Prime Team linkedin icon Seguir
Entrega do AsyncRAT em Campanhas de Ameaças com Temática de IA
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Atores de ameaça estão aproveitando iscas com tema de IA para distribuir uma cadeia de infecção de malware em múltiplas etapas. O ataque combina scripts em etapas, loaders baseados em AutoHotkey e hollowing de processo para implantar tanto um trojan de acesso remoto .NET quanto o AsyncRAT. Um aspecto notável da campanha é o aparente uso de desenvolvimento assistido por IA, refletido nos nomes de variáveis em Chinês Simplificado e comentários de código embutidos em todo o malware.

Investigação

Os laboratórios da FortiGuard examinaram uma sequência complexa de intrusão que começou com um arquivo ZIP malicioso contendo um arquivo LNK. Sua análise revelou várias etapas de extração de carga de um contêiner baseado em PDF, seguido por injeção reflexiva impulsionada por AutoHotkey e implantação final de um RAT modular .NET junto com o AsyncRAT. Os pesquisadores também documentaram métodos distintos de ofuscação, incluindo abstração semântica em idioma chinês e lógica de desencriptação personalizada projetada para ocultar o comportamento do malware.

Mitigação

Os usuários devem ser especialmente cautelosos com arquivos LNK, arquivos compactados e documentos recebidos de fontes não confiáveis ou inesperadas. As organizações devem revisar entradas de inicialização, tarefas agendadas e locais de registro em busca de alterações não autorizadas. Monitorar atividades suspeitas do PowerShell e conexões de rede de saída incomuns também é essencial para identificar os estágios iniciais do comprometimento.

Resposta

Se esta atividade for detectada, os respondedores devem realizar uma revisão forense dos %LOCALAPPDATA% and %APPDATA% diretórios para identificar scripts soltos e artefatos relacionados. O Agendador de Tarefas deve ser verificado em busca de tarefas suspeitas, como CheckRealtekAudioVersion or ResetRealtekAudioSettings64. Sistemas afetados devem ser isolados imediatamente para impedir mais comunicação com os domínios e endereços IP maliciosos identificados.

Fluxo de Ataque

Detecções

A Possibilidade de Execução Através de Linhas de Comando PowerShell Ocultas (via cmdline)

Equipe SOC Prime
11 de jun de 2026

Possível Tentativa de Execução de Script AutoHotkey (via cmdline)

Equipe SOC Prime
11 de jun de 2026

LOLBAS WScript / CScript (via process_creation)

Equipe SOC Prime
11 de jun de 2026

Strings Suspeitas do PowerShell (via powershell)

Equipe SOC Prime
11 de jun de 2026

Chamar Métodos .NET Suspeitos a partir do PowerShell (via powershell)

Equipe SOC Prime
11 de jun de 2026

Indicadores Possíveis de Ofuscação do PowerShell (via powershell)

Equipe SOC Prime
11 de jun de 2026

IOCs (HashSha256) para detectar: Atores de Ameaça Armam Hype de IA para Entregar AsyncRAT

Regras de IA do SOC Prime
11 de jun de 2026

IOCs (SourceIP) para detectar: Atores de Ameaça Armam Hype de IA para Entregar AsyncRAT

Regras de IA do SOC Prime
11 de jun de 2026

IOCs (DestinationIP) para detectar: Atores de Ameaça Armam Hype de IA para Entregar AsyncRAT

Regras de IA do SOC Prime
11 de jun de 2026

Comando e Controle de AsyncRAT Usando Criptografia RijndaelManaged [Windows Sysmon]

Regras de IA do SOC Prime
11 de jun de 2026

Detecção de Comunicação de Domínio C2 do AsyncRAT [Conexão de Rede Windows]

Regras de IA do SOC Prime
11 de jun de 2026

Execução Suspeita de PowerShell com Janelas Ocultas e Bypass de Segurança [Windows PowerShell]

Regras de IA do SOC Prime
11 de jun de 2026

Detectar Process Hollowing via Criação de Processo Suspeita [Criação de Processo do Windows]

Regras de IA do SOC Prime
11 de jun de 2026

Execução de Simulação

Pré-requisito: O Check de Pre-flight de Telemetria e Base foi aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa do Ataque & Comandos: Um adversário ganhou acesso inicial e está se preparando para estabelecer um canal de Comando e Controle (C2) persistente usando AsyncRAT. Para evitar a detecção de assinatura baseada em rede, o atacante utiliza a classe RijndaelManaged .NET para criptografar o tráfego. O atacante executa uma linha de comando PowerShell que instancia o criptografador, pretendendo encapsular o C2 heartbeat em uma carga útil criptografada. Este comando é projetado para acionar a regra de detecção baseada em string específica.

  • Script de Teste de Regressão:

    # Simulação de instanciação de criptografia estilo AsyncRAT no PowerShell
    # Este comando é projetado para corresponder à string 'RijndaelManaged.CreateEncryptor' na linha de comando.
    $code = "[System.Security.Cryptography.RijndaelManaged]::CreateEncryptor()"
    powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "$encryptor = [System.Security.Cryptography.RijndaelManaged]::CreateEncryptor(); Write-Output 'Encryption engine initialized.'"
  • Comandos de Limpeza:

    # Nenhuma alteração persistente feita pelo script de simulação; no entanto,
    # limpar o histórico do PowerShell para remover traços do comando.
    Clear-History
    Remove-Item (Get-PSReadlineOption).HistorySavePath -ErrorAction SilentlyContinue