Mã độc AsyncRAT tấn công cơ sở hạ tầng Hoa Kỳ trong suốt 11 tháng

Một chiến dịch phát tán mã độc AsyncRAT đã hoạt động trong ít nhất 11 tháng qua, sử dụng hàng trăm mẫu loader và hơn 100 tên miền.

AsyncRAT là công cụ truy cập từ xa (RAT) nguồn mở dành cho Windows, được cung cấp rộng rãi từ năm 2019. Hacker đã sử dụng công cụ này trong nhiều năm qua, ở dạng nguyên trạng hoặc đã sửa đổi để ‘đeo bám’ trên hệ thống mục tiêu, đánh cắp tệp và dữ liệu cũng như triển khai mã độc bổ sung.

Hè năm ngoái, nhóm nghiên cứu Alien Labs của AT&T nhận thấy “sự gia tăng đột biến các email phishing, nhắm mục tiêu vào các cá nhân cụ thể ở một số công ty nhất định” và bắt đầu điều tra.

“Hacker lựa chọn các nạn nhân và công ty mục tiêu một cách cẩn thận để mở rộng phạm vi ảnh hưởng của chiến dịch. Một số trong đó đang quản lý cơ sở hạ tầng quan trọng ở Hoa Kỳ”, các chuyên gia cho biết.

Các cuộc tấn công bắt đầu bằng một email độc hại mang tệp đính kèm GIF dẫn đến file SVG để tải xuống các tập lệnh JavaScript và PowerShell bị xáo trộn.

Sau khi vượt qua một số bước kiểm tra anti-sandbox, loader sẽ giao tiếp với máy chủ C2 và xác định xem nạn nhân có đủ điều kiện để lây nhiễm AsyncRAT hay không.

Hiện chưa xác định được hacker nào đứng sau chiến dịch.

Nguồn: Bleeping Computer