Campanhas AsyncRAT Apresentam 3LOSH Crypter Que Ofusca Cargas
Índice:
Campanhas contínuas de distribuição de malware propagam o AsyncRAT, incluindo o crypter 3LOSH em repositórios públicos. Pesquisas recentes em cibersegurança analisam a versão mais recente do 3LOSH que está sendo usada por adversários para evadir a detecção em dispositivos em ambientes corporativos. Além do AsyncRAT, uma série de outras variantes de malware de commodity pode ser distribuída pelo mesmo operador. O objetivo deste aumento no uso de crypters é aumentar a eficácia operacional do RAT e, como resultado, exfiltrar dados sensíveis.
Analistas de segurança alertam as organizações de que ciberataques podem ser aproveitados por vários atores de ameaças, enquanto a complexidade de ferramentas como o crypter 3LOSH está sendo continuamente atualizada e aprimorada. Veja nossas mais recentes detecções abaixo, que ajudam a identificar a atividade mais recente do crypter 3LOSH.
3LOSH Builder/Crypter Detecção
A nova regra de detecção baseada em Sigma escrita por nosso prolífico Desenvolvedor de Recompensa de Ameaças Kyaw Pyiyt Htet reconhece a execução possível do 3LOSH baseada na disponibilidade de certos arquivos maliciosos:
Execução suspeita do 3LOSH (AsyncRAT) RAT pela detecção de arquivos maliciosos (file_event)
Esta regra pode ser automaticamente convertida para as seguintes soluções de segurança: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys, AWS OpenSearch.
A regra Sigma está mapeada para a versão mais recente do MITRE ATT&CK®, abordando a tática de Execução e a técnica de Interpretador de Comandos e Scripts (T1059).
Como o AsyncRAT e o 3LOSH em suas versões mais antigas foram identificados anteriormente por especialistas em inteligência de ameaças, você pode aproveitar nossas detecções anteriores e verificar se há algo mais que deve adicionar à sua rotina de caça a ameaças. Se você tem sua própria abordagem exclusiva para detectar ameaças cibernéticas e se esforça para compartilhar sua expertise com o mundo, é muito bem-vindo para participar de nossa iniciativa de crowdsourcing.
Ver Detecções Participar do Threat Bounty
Payloads do AsyncRAT e Análise do 3LOSH
Um processo de infecção em várias etapas aproveitado pelo AsyncRAT começa com código VBScript que é executado a partir de um arquivo ISO. O VBS usa dados inúteis em seu conteúdo para ofuscar o código que executa com a ajuda da substituição de strings. Após a desofuscação do código, este VBS contata um servidor C&C para recuperar um script PowerShell para habilitar as próximas etapas da execução do RAT.
Durante estas etapas, o malware pode escolher vários locais de diretórios e usar vários nomes de arquivos que são, no entanto, funcionalmente equivalentes. Em última análise, o script escaneia o sistema da vítima e cria um diretório de trabalho para o malware em um local que se assemelha a algo comum como C:ProgramDataFacebookSystem32MicrosoftSystemData.
Após isso, scripts adicionais são criados, desencadeando a execução do arquivo “Office.vbs” e avançando para a próxima etapa do processo de infecção. A maioria dos objetivos do RAT são realizados nesta terceira etapa. Por exemplo, para estabelecer persistência, outro script PowerShell cria e executa imediatamente uma nova Tarefa Agendada com o nome “Office” que se repete a cada dois minutos. O payload final pode variar, mas a maioria das amostras analisadas eram AsyncRAT e LimeRAT.
Pesquisadores concluem que o crypter 3LOSH é um crypter de malware que atualmente está em desenvolvimento ativo, sendo propagado embutido em diferentes RATs de commodity. Assim, a estratégia de detecção eficaz deve incluir a capacidade de identificar o crypter independente dos payloads finais. Junte-se àplataforma Detection as Code da SOC Primepara se manter continuamente atualizado sobre o novo conteúdo de detecção e acompanhar as ameaças atuais.
