Μια κακόβουλη εκστρατεία λογισμικού έχει εντοπιστεί, η οποία διανέμει ένα Trojan RAT με την ονομασία AsyncRAT. Η διάδοση γίνεται μέσω ωφέλιμων φορτίων Python και τη χρήση σηράγγων TryCloudflare, καθιστώντας την επίθεση ακόμα πιο εξελιγμένη και δύσκολα ανιχνεύσιμη.
Δείτε επίσης: Phishing: To PNGPlug Loader διανέμει το ValleyRAT malware

Η αφετηρία μιας πολύπλοκης αλυσίδας επίθεσης πολλαπλών σταδίων AsyncRAT, είναι ένα phishing email, το οποίο περιλαμβάνει έναν σύνδεσμο προς το Dropbox. Μετά το κλικ, γίνεται λήψη ενός αρχείου ZIP, ενεργοποιώντας τη διαδικασία.
Μέσα στο αρχείο περιέχεται ένας σύνδεσμος προς το Διαδίκτυο (URL), που λειτουργεί ως γέφυρα προς ένα αρχείο συντόμευσης των Windows (LNK). Αυτό το αρχείο είναι υπεύθυνο για την περαιτέρω εξάπλωση της μόλυνσης, ενώ στον παραλήπτη παρουσιάζεται ένα φαινομενικά αθώο έγγραφο PDF ως δόλωμα.
Το αρχείο LNK ανακτάται μέσω μιας διεύθυνσης URL TryCloudflare, η οποία είναι ενσωματωμένη στο αρχείο URL. Το TryCloudflare αποτελεί μια αξιόπιστη υπηρεσία που προσφέρεται από το Cloudflare, επιτρέποντας την έκθεση διακομιστών ιστού στο Διαδίκτυο χωρίς την ανάγκη ανοίγματος θυρών. Μέσω αυτής της υπηρεσίας δημιουργείται ένα αποκλειστικό κανάλι επικοινωνίας, που διασφαλίζει την ασφαλή και απρόσκοπτη μεταφορά της επισκεψιμότητας στον διακομιστή.
Δείτε ακόμα: NonEuclid Trojan: Νέο προηγμένο RAT malware
Το αρχείο LNK, από την πλευρά του, ενεργοποιεί το PowerShell να εκτελέσει έναν κώδικα JavaScript που φιλοξενείται στην ίδια τοποθεσία που, με τη σειρά του, οδηγεί σε ένα σενάριο δέσμης (BAT) ικανό να κατεβάσει ένα άλλο αρχείο ZIP. Το νέο αρχείο ZIP που κατεβάσατε περιέχει ένα ωφέλιμο φορτίο Python που έχει σχεδιαστεί για την εκκίνηση και την εκτέλεση πολλών οικογενειών κακόβουλου λογισμικού, όπως το AsyncRAT, το Venom RAT και το XWorm.

Αξίζει να σημειωθεί ότι μια μικρή παραλλαγή της ίδιας αλληλουχίας μόλυνσης ανακαλύφθηκε πέρυσι και διαδόθηκαν τα AsyncRAT, GuLoader, PureLogs Stealer, Remcos RAT, Venom RAT και XWorm.
Η ανάπτυξη έρχεται εν μέσω αύξησης των καμπανιών phishing που χρησιμοποιούν κιτ εργαλείων phishing-as-a-service (PhaaS) για τη διεξαγωγή επιθέσεων κατάληψης λογαριασμού κατευθύνοντας τους χρήστες σε ψευδείς σελίδες προορισμού που μιμούνται τις σελίδες σύνδεσης αξιόπιστων πλατφορμών όπως η Microsoft, η Google, η Apple και το GitHub.
Δείτε επίσης: Η ομάδα Bitter στοχεύει τον αμυντικό τομέα με τα WmRAT και MiyaRAT malware
Το Phishing-as-a-Service (PhaaS) έχει αναδειχθεί ως μια ανησυχητική τάση στον κόσμο της κυβερνοασφάλειας. Αυτή η υπηρεσία επιτρέπει σε κακόβουλους χρήστες, ακόμα και χωρίς τεχνικές γνώσεις, να πραγματοποιούν επιθέσεις phishing, χρησιμοποιώντας εργαλεία και υποδομές που παρέχονται από εξειδικευμένους κυβερνοεγκληματίες. Με μια ευρεία γκάμα εργαλείων και δυνατοτήτων, όπως έτοιμες δόλιες ιστοσελίδες και αυτοματοποιημένες πλατφόρμες, το PhaaS μειώνει τα εμπόδια για την υλοποίηση επιθέσεων social engineering. Αυτή η εκδημοκρατικοποίηση των κυβερνοεπιθέσεων αυξάνει τον κίνδυνο για οργανισμούς και άτομα, κάνοντας αναγκαία την ενίσχυση της εκπαίδευσης και των λύσεων ασφάλειας.
Πηγή: thehackernews