Părea un cod inofensiv, dar a păcălit pe toată lumea și a devenit principala amenințare a deceniului.
AsyncRAT, publicat pentru prima dată pe GitHub în ianuarie 2019, a devenit în timp unul dintre cele mai influente instrumente din arsenalul criminalilor cibernetici. Datorită arhitecturii sale deschise, scrise în C#, a devenit baza pentru numeroase ramificații și modificări care au fost utilizate pentru a crea programe malware din ce în ce mai sofisticate.
O analiză recentă realizată de specialiștii ESET a arătat cum acest troian, la prima vedere neimpresionant din punct de vedere funcțional, s-a transformat, datorită accesibilității, structurii modulare și ușurinței de configurare, într-o platformă completă pentru gestionarea sistemelor infectate.
Inițial, AsyncRAT a fost creat ca un instrument simplu de acces la distanță, capabil să facă capturi de ecran, să înregistreze apăsările tastelor, să fure date de autentificare și să execute comenzi ale atacatorilor. Cu toate acestea, influența sa reală a început să se manifeste odată cu creșterea numărului de fork-uri distribuite în principal prin campanii de phishing și descărcătoare precum GuLoader și SmokeLoader. Aceste scheme de distribuire permit mascarea amenințării sub forma unui software piratat, a unor actualizări false sau a unor reclame malware, care vizează atât utilizatorii privați, cât și rețelele corporative.
AsyncRAT s-a dovedit a fi deosebit de atractiv pentru comunitatea criminală datorită flexibilității sale. S-a adaptat rapid la noile condiții, a devenit mai greu de detectat și a căpătat capacități mai sofisticate datorită modulelor conectabile. De-a lungul timpului, pe baza sa au apărut zeci de noi variante de programe malware, printre care DCRat , Venom RAT , JasonRAT, XieBroRAT și mai puțin cunoscutul NonEuclid RAT.
DCRat, cunoscut și sub numele de DarkCrystal RAT, a reprezentat un pas înainte în comparație cu AsyncRAT original. Acesta include tehnici de ocolire a protecției, cum ar fi patch-uri AMSI și ETW, care dezactivează mecanismele de detectare a activității malware. În plus, poate colecta înregistrări de la microfon și cameră web, fura token-uri Discord și chiar cripta fișierele victimei. Venom RAT, inspirat de DCRat, a primit și funcții unice și a devenit și mai avansat din punct de vedere al camuflării.
Alte fork-uri, precum NonEuclid RAT, sunt orientate către spargerea parolelor SSH și FTP, înlocuirea conținutului clipboard-ului în scopul furtului de criptomonede și chiar infectarea altor fișiere executabile. JasonRAT a adăugat țintirea geografică, iar XieBroRAT a fost adaptat pentru piața chineză și a învățat să interacționeze cu serverele Cobalt Strike.
Rădăcinile AsyncRAT se trag dintr-un proiect anterior — Quasar RAT , de asemenea bazat pe C#, care a apărut pe GitHub încă din 2015.
În ciuda originii comune, AsyncRAT este mai degrabă o reproducere decât un fork direct, deși ambele programe utilizează mecanisme criptografice similare pentru decriptarea setărilor.
Disponibilitatea deschisă a unor astfel de instrumente a redus drastic pragul de intrare în criminalitatea cibernetică. Acum, chiar și atacatorii începători pot lansa campanii malware complexe cu efort minim, mai ales când se adaugă posibilitatea automatizării cu ajutorul modelelor lingvistice. Acest lucru, la rândul său, contribuie la dezvoltarea modelului „malware ca serviciu” – versiunile preconfigurate ale AsyncRAT și modulele sale sunt vândute liber pe Telegram și pe forumuri obscure.
O dificultate separată este creată de fuziunea granițelor dintre programele malware, mijloacele legitime de administrare la distanță și instrumentele de testare a penetrării. Acest lucru îngreunează identificarea amenințărilor și elaborarea măsurilor de protecție. Pentru serviciile de securitate, acest lucru înseamnă că trebuie să acorde mai multă atenție analizei comportamentale, cercetării canalelor de comandă și control și înțelegerii unor tehnici moderne, cum ar fi fixarea fără urme în sistem, capturarea clipboardului și furtul datelor de autentificare.
