Die aktuellen Angriffe mit der AsyncRAT-Malware über E-Mails nutzen eine ausgeklügelte Phishing-Technik, um den Trojaner zu verbreiten. Die Software AsyncRAT ist Open Source und eigentlich zum Fernzugriff auf Windows Rechner bestimmt. Jedoch eignet Sie sich auch hervorragend für die Zwecke von Hackern, um Daten zu klauen und Malware zu installieren. Da diese Software nicht automatisch auf Windows installiert ist und auch nicht so eingestellt ist, dass Hacker diese einfach nutzen können, haben diese einen ausgeklügelten Plan entwickelt, wie sich eine für die Zwecke der Hacker modfizierte AsyncRat Version unbemerkt von Malware Scannern und den Opfern auf Rechnern installiert:
- Infektionsbeginn mit E-Mail: Die Angriffe beginnen mit einer bösartigen E-Mail, die einen GIF-Anhang enthält. Dieser führt zu einer SVG-Datei, die wiederum ein obfuskiertes JavaScript und PowerShell-Skripte herunterlädt.
- Verwendung von HTML-Anhängen: In einigen Fällen wird eine E-Mail mit einem HTML-Anhang verschickt, der als Bestellbestätigung getarnt ist. Das Öffnen dieser Datei leitet den Empfänger zu einer Webseite weiter, die ihn auffordert, eine ISO-Datei zu speichern. Diese ISO-Datei wird jedoch nicht von einem Remote-Server, sondern direkt im Browser des Opfers durch ein JavaScript generiert.
- Weiterführung der Infektionskette: Wenn das Opfer die ISO-Datei öffnet, wird sie automatisch als DVD-Laufwerk im Windows-Host eingebunden und enthält entweder eine .BAT- oder eine .VBS-Datei, welche die Infektionskette fortsetzt, indem sie eine nächste Komponente über PowerShell-Befehlsausführung abruft. Dies führt zur Ausführung eines .NET-Moduls im Speicher, das schließlich AsyncRAT als endgültige Schadsoftware ausliefert. Dabei wird auch auf Antivirensoftware überprüft und Ausnahmen für Windows Defender eingerichtet.
- Advanced Tactics and Evasion: Die Angreifer nutzen fortschrittliche Taktiken, die es der Malware ermöglichen, von den meisten Antivirenprogrammen unentdeckt zu bleiben. Die Infrastruktur des Angreifers umfasst Download-Server, Command-and-Control-Server und bösartige Subdomains, die auf Cloud-Diensten wie Microsoft Azure und AWS gehostet werden.
Ist AsyncRat erst einmal installiert, lässt sich damit beliebige Mal installieren, die es den Angreifern ermöglichen, die kompromittierten Maschinen vollständig zu überwachen und zu steuern.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: