La seguridad informática es un campo en constante evolución. Los ciberataques se han vuelto más sofisticados y peligrosos, afectando a individuos, empresas y gobiernos. Uno de estos ataques recientes ha sido llevado a cabo por el malware conocido como AsyncRAT, el cual ha estado activo y atacando la infraestructura de Estados Unidos durante los últimos 11 meses.
AsyncRAT es un tipo de malware de acceso remoto (RAT, por sus siglas en inglés Remote Access Trojan) diseñado para permitir a un atacante controlar un sistema informático a distancia sin el conocimiento del usuario. Este tipo de software malicioso se caracteriza por su capacidad para evadir la detección y realizar una variedad de acciones maliciosas, como robo de datos, espionaje y despliegue de otros programas dañinos.
Podrá interesarte: Prevención y Análisis del Troyano AsyncRAT
Durante los últimos 11 meses, ha estado en curso una campaña maliciosa que distribuye el malware AsyncRAT a objetivos seleccionados. Esta campaña ha empleado más de 100 dominios y cientos de muestras de cargadores únicos. AsyncRAT es una herramienta de acceso remoto (RAT) de código abierto diseñada para sistemas Windows, que ha estado públicamente disponible desde 2019. Esta herramienta permite a los atacantes ejecutar comandos de manera remota, registrar pulsaciones de teclado, filtrar datos y eliminar cargas útiles adicionales.
A lo largo del tiempo, los ciberdelincuentes han utilizado AsyncRAT, tanto en su forma original como en versiones modificadas, para infiltrarse en sistemas objetivos, robar archivos y datos, y desplegar malware adicional. Un investigador de seguridad de Microsoft, Igal Lytzki, detectó estos ataques a través de correos electrónicos comprometidos el verano pasado, aunque no logró recuperar la carga útil final.
En septiembre, el equipo de investigación de Alien Labs de AT&T notó un aumento en correos electrónicos de phishing dirigidos a individuos específicos de ciertas empresas y comenzaron una investigación. Los ataques comienzan con un correo electrónico malicioso que contiene un archivo adjunto GIF, el cual conduce a un archivo SVG que descarga scripts de JavaScript y PowerShell ofuscados.
Después de superar algunas medidas de protección contra análisis, el cargador se comunica con un servidor de comando y control (C2) para determinar si la víctima es apta para la infección de AsyncRAT. Los dominios C2 utilizados están alojados en BitLaunch, un servicio que permite pagos anónimos en criptomonedas, lo que es atractivo para los ciberdelincuentes.
Si el cargador detecta que se está ejecutando en un entorno de análisis, implementa cargas útiles falsas, posiblemente con la intención de confundir a los investigadores de seguridad y a las herramientas de detección de amenazas. El sistema anti-análisis utilizado por el cargador incluye una serie de comprobaciones realizadas mediante comandos de PowerShell que recopilan información del sistema y calculan una puntuación para determinar si se está ejecutando en una máquina virtual.
Te podrá interesar leer: Detección de Ataques de Phishing con Wazuh
AT&T Alien Labs descubrió que el actor de amenazas utilizó 300 muestras únicas del cargador en los últimos 11 meses, cada una con pequeñas modificaciones en su código, ofuscación y nombres y valores de variables. Otra observación importante fue el uso de un algoritmo de generación de dominios (DGA) que crea nuevos dominios C2 todos los domingos.
De acuerdo con los hallazgos de AT&T Alien Labs, los dominios utilizados en la campaña siguen un patrón específico: tienen un dominio de nivel superior (TLD) "superior", constan de ocho caracteres alfanuméricos aleatorios, se registran en Nicenic.net, utilizan Sudáfrica como código de país y se alojan en DigitalOcean.
AT&T logró descifrar la lógica detrás del sistema de generación de dominios e incluso predijo los dominios que se generarán y asignarán al malware a lo largo de enero de 2024. Aunque los investigadores no atribuyeron los ataques a un adversario específico, destacaron que estos "actores de amenazas valoran la discreción", como se evidencia en sus esfuerzos por ocultar las muestras de malware.
El equipo de Alien Labs proporciona un conjunto de indicadores de compromiso junto con firmas para el software de análisis de red y detección de amenazas de Suricata, que las empresas pueden utilizar para detectar intrusiones relacionadas con esta campaña de AsyncRAT.
Te podrá interesar leer: Suricata IDS IPS: Rendimiento y Seguridad de la Red
AsyncRAT es un ejemplo claro de las sofisticadas amenazas cibernéticas que enfrentan las infraestructuras críticas hoy en día. La comprensión de cómo opera este malware y la implementación de medidas de seguridad robustas son esenciales para proteger los activos digitales. Mantenerse informado y preparado es clave para defenderse contra estas amenazas en constante evolución.