Le campagne di phishing rimangono uno dei vettori di attacco più diffusi e pericolosi nel panorama della cybersecurity, e la scoperta di nuove minacce e malware continua a sfidare gli esperti del settore. Recentemente, gli analisti di AT&T Alien Labs hanno individuato una campagna insidiosa volta a distribuire AsyncRAT, un trojan di accesso remoto, attraverso ingegnose tattiche di phishing.
AsyncRAT è un trojan di accesso remoto open source, originariamente rilasciato nel 2019 e tuttora disponibile su GitHub. Grazie alla sua natura gratuita e alle sue caratteristiche versatile, AsyncRAT è diventato uno degli strumenti preferiti dagli autori di minacce. Le sue funzionalità includono il keylogging e tecniche di esfiltrazione dei dati, rendendolo particolarmente pericoloso per le vittime ignare.
La campagna individuata da AT&T Alien Labs ha visto gli autori delle minacce distribuire AsyncRAT attraverso file JavaScript incorporati in pagine di phishing. Attraverso più di 300 campioni e oltre 100 domini, gli autori hanno dimostrato una determinazione costante nel perseguire i loro obiettivi maliziosi.
Il modus operandi di questa campagna è stato caratterizzato da diverse fasi di offuscamento, con un server di comando e controllo (C&C) che verifica attentamente la presenza di sandbox prima di distribuire il payload AsyncRAT principale. Gli autori hanno anche dimostrato abilità nel modificare costantemente il codice e l’infrastruttura di rete per eludere le tecniche di rilevamento.
Le caratteristiche comuni dell’infrastruttura di rete associata ad AsyncRAT includono dominio di primo livello (TLD) superiore, organizzazione registrante “Nicenic.net, Inc” e prefisso internazionale Sud Africa (ZA). Tuttavia, gli autori hanno dimostrato flessibilità nel modificare queste caratteristiche per evitare il rilevamento.
Un aspetto interessante è l’utilizzo di un algoritmo di generazione del dominio (DGA) che consente di generare nuovi domini C&C in base alla data corrente, garantendo che il malware possa continuare a funzionare senza essere bloccato.
Inoltre, gli autori hanno dimostrato una certa ironia nel loro approccio, distribuendo campioni esca che si fingono AsyncRAT ma che in realtà contengono messaggi derisori per i ricercatori.
Questa campagna rappresenta un esempio tangibile della persistente minaccia delle campagne di phishing e dell’evoluzione dei malware come AsyncRAT. La determinazione degli autori delle minacce nel perseguire le loro attività malevole sottolinea l’importanza di una costante vigilanza e di un’analisi attenta delle nuove minacce emergenti nel panorama della cybersecurity.
In conclusione, la collaborazione tra ricercatori e professionisti della sicurezza informatica è essenziale per identificare, analizzare e contrastare efficacemente le minacce digitali che continuano a mettere in pericolo la sicurezza online di individui e organizzazioni in tutto il mondo.
