Эксперты по кибербезопасности проследили путь популярного вредоносного инструмента AsyncRAT, который появился на GitHub в январе 2019 года и стал прародителем целого семейства новых зловредов.
AsyncRAT
«Сегодня AsyncRAT — один из самых заметных участников кибератак и основа целой сети своих форков», — говорит исследователь ESET Никола Кнезевич.
«В отдельности его функции не поражают воображение, но именно открытый исходный код сделал AsyncRAT по-настоящему опасным. Благодаря модульной структуре вирус легко дорабатывать, так что новых вариантов становится всё больше», — подчёркивает он.
Написанный на C#, этот вирус, впервые выложенный разработчиком NYAN CAT, умеет делать скриншоты, следить за вводом с клавиатуры, красть пароли и полностью контролировать заражённый компьютер: загружать файлы и выполнять команды злоумышленника — всё это остаётся незаметным для пользователя.
Простота, открытый код, глубокая модульность и развитые способы маскировки делают AsyncRAT почти неуловимым и весьма привлекательным для злоумышленников. Свежие атаки с его участием идут по всему миру без перерыва.
По данным экспертов из ESET, в качестве основы для AsyncRAT послужили другие open-source RAT, такие как Quasar RAT (известный также как CinaRAT или Yggdrasil), который разместили на GitHub ещё в 2015 году. Однако, несмотря на то что оба вируса написаны на C#, различий между ними так много, что AsyncRAT можно считать полностью самостоятельной разработкой.
Главный мост между ними — собственная система шифрования: криптографические классы позволяют расшифровывать конфигурации этих зловредов. С появлением AsyncRAT на свет начали появляться заметные форки — например, DCRat (он же DarkCrystal RAT) и Venom RAT.
DCRat расширил возможности AsyncRAT: добавил сложные обходы защиты, умеет собирать данные с веб-камеры и микрофона, красть Discord-токены и даже шифровать пользовательские файлы.
«DCRat внедряет трюки для обхода защиты, такие как модификации AMSI и ETW, чтобы оставаться незамеченным», — отмечают в ESET. — «Кроме того, есть функция “анти-процесс”: она завершает процессы из заранее заданного чёрного списка».
Venom RAT вдохновлялся DCRat, но обзавёлся и собственными уникальными возможностями.
«Хотя технически они входят в семейство Quasar RAT, это совершенно разные вирусы», — говорит аналитик Rapid7 Анна Широкова, которая в ноябре 2024 года исследовала AsyncRAT и Venom RAT. — «Venom RAT использует ещё более мощные средства маскировки — теперь он стал по-настоящему опасным».
ESET также обнаружила менее известные форки AsyncRAT. Например, NonEuclid RAT умеет подбирать пароли для SSH и FTP, узнавать геолокацию жертвы, перехватывать буфер обмена для подмены криптокошельков и даже внедрять свой код в другие исполняемые файлы.
JasonRAT предназначен для атак на пользователей из выбранных стран. А XieBroRAT оснащён отдельным модулем для кражи паролей из браузера, умеет подключаться к серверам Cobalt Strike через обратные соединения и дополнительно заточен под нужды китайских пользователей.
«Распространение AsyncRAT и его “потомков” — яркое доказательство того, как быстро открытые вредоносные платформы становятся опаснее», — подытоживают в ESET. — «Каждая новая версия увеличивает возможности AsyncRAT и показывает, с какой скоростью киберпреступники учатся пользоваться чужими наработками».
«Доступность подобных вирусов практически стёрла грань между профессионалами и новичками в киберпреступности: теперь даже неподкованный злоумышленник способен устроить сложную атаку. “Демократизация” мира вредоносов — в сочетании с новыми LLM и растущими злоупотреблениями ими — ускоряет появление и развитие опасных вирусов, делая цифровую среду всё более уязвимой».
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru