Исследователи ESET в опубликованном во вторник отчете заявили , что AsyncRAT, самый распространенный из известных троянов удаленного доступа, породил более 30 форков и модификаций , которые усиливают воздействие вредоносного ПО с открытым исходным кодом, делая его популярным и иногда замаскированным инструментом для киберпреступников.
Как рассказал изданию CyberScoop Никола Кнежевич, исследователь вредоносных программ компании ESET, инструмент удаленного доступа с открытым исходным кодом, впервые представленный на GitHub в 2019 году, постоянно фигурирует в кибератаках, чаще всего распространяясь посредством спам-кампаний, фишинга и вредоносной рекламы, а также посредством эксплуатации уязвимостей программного обеспечения в более целевых операциях.
«Только за последний год мы обнаружили активность, соответствующую десяткам тысяч уникальных зараженных машин, связанных с AsyncRAT и его модификациями», — сказал Кнежевич.
AsyncRAT остаётся наиболее распространённым, но и другие его варианты получили широкое распространение, на долю которых приходится значительное количество атак, связанных с деревом троянов удалённого доступа. Телеметрические данные ESET показали, что DcRat является наиболее распространённой версией, на которую приходится 24% уникальных заражений образцов, за ним следует VenomRAT с 8%.
«Из всех форков, с которыми мы столкнулись, VenomRAT, по нашему мнению, вызывает наибольшие опасения, в основном благодаря повышенной скрытности, обилию плагинов и агрессивным возможностям», — сказал Кнежевич. «В отличие от своего более простого собрата DcRat, VenomRAT интегрирует многие свои функции непосредственно в клиент, снижая зависимость от внешних модулей и делая его более самодостаточным. Он также часто используется в составе фишинговых наборов и в многоэтапных атаках».
В своем отчете компания ESET выявила несколько форков AsyncRAT, отметив, что некоторые клоны, которые авторы публично признали шутками, были замечены в реальной жизни.
«Уникальность AsyncRAT и его модификаций заключается не в какой-то одной технической особенности, а в масштабности и плавности развития. В отличие от других модульных троянов удалённого доступа с открытым исходным кодом, AsyncRAT породил необычайно большое количество форков, от серьёзных угроз, таких как VenomRAT и DcRat, до новых вариантов, таких как SantaRAT», — сказал Кнежевич.
AsyncRAT включает в себя стандартные функции троянов удаленного доступа, в том числе кейлоггерство, захват экрана и кражу учетных данных, но со временем в различных ответвлениях появились дополнительные возможности.
«Такое разнообразие усложняет поддержание единообразных правил обнаружения, поскольку каждое ответвление может вносить измененные макеты конфигурации, добавлять новые уровни обфускации или полностью перерабатывать исходную кодовую базу», — сказал Кнежевич.
Некоторые форки, такие как VenomRAT, могут рассматриваться как отдельные вредоносные программы из-за множества функций, которые они содержат, но, по данным ESET, все они относятся к одному семейству вредоносных программ. Защитники обычно могут идентифицировать форки по параметрам конфигурации и значениям вредоносной программы.
«Они имеют общее происхождение и демонстрируют схожие черты, такие как схожие структуры конфигурации, процедуры шифрования и архитектуры плагинов, что позволяет относительно легко их классифицировать», — сказал Кнежевич. «Распознавание этих общих характеристик критически важно для специалистов по безопасности, поскольку позволяет эффективнее обнаруживать и атрибуцировать вредоносное ПО, даже если оно было сильно запутано или лишь поверхностно переименовано».
Как рассказал изданию CyberScoop Никола Кнежевич, исследователь вредоносных программ компании ESET, инструмент удаленного доступа с открытым исходным кодом, впервые представленный на GitHub в 2019 году, постоянно фигурирует в кибератаках, чаще всего распространяясь посредством спам-кампаний, фишинга и вредоносной рекламы, а также посредством эксплуатации уязвимостей программного обеспечения в более целевых операциях.
«Только за последний год мы обнаружили активность, соответствующую десяткам тысяч уникальных зараженных машин, связанных с AsyncRAT и его модификациями», — сказал Кнежевич.
AsyncRAT остаётся наиболее распространённым, но и другие его варианты получили широкое распространение, на долю которых приходится значительное количество атак, связанных с деревом троянов удалённого доступа. Телеметрические данные ESET показали, что DcRat является наиболее распространённой версией, на которую приходится 24% уникальных заражений образцов, за ним следует VenomRAT с 8%.
«Из всех форков, с которыми мы столкнулись, VenomRAT, по нашему мнению, вызывает наибольшие опасения, в основном благодаря повышенной скрытности, обилию плагинов и агрессивным возможностям», — сказал Кнежевич. «В отличие от своего более простого собрата DcRat, VenomRAT интегрирует многие свои функции непосредственно в клиент, снижая зависимость от внешних модулей и делая его более самодостаточным. Он также часто используется в составе фишинговых наборов и в многоэтапных атаках».
В своем отчете компания ESET выявила несколько форков AsyncRAT, отметив, что некоторые клоны, которые авторы публично признали шутками, были замечены в реальной жизни.
«Уникальность AsyncRAT и его модификаций заключается не в какой-то одной технической особенности, а в масштабности и плавности развития. В отличие от других модульных троянов удалённого доступа с открытым исходным кодом, AsyncRAT породил необычайно большое количество форков, от серьёзных угроз, таких как VenomRAT и DcRat, до новых вариантов, таких как SantaRAT», — сказал Кнежевич.
AsyncRAT включает в себя стандартные функции троянов удаленного доступа, в том числе кейлоггерство, захват экрана и кражу учетных данных, но со временем в различных ответвлениях появились дополнительные возможности.
«Такое разнообразие усложняет поддержание единообразных правил обнаружения, поскольку каждое ответвление может вносить измененные макеты конфигурации, добавлять новые уровни обфускации или полностью перерабатывать исходную кодовую базу», — сказал Кнежевич.
Некоторые форки, такие как VenomRAT, могут рассматриваться как отдельные вредоносные программы из-за множества функций, которые они содержат, но, по данным ESET, все они относятся к одному семейству вредоносных программ. Защитники обычно могут идентифицировать форки по параметрам конфигурации и значениям вредоносной программы.
«Они имеют общее происхождение и демонстрируют схожие черты, такие как схожие структуры конфигурации, процедуры шифрования и архитектуры плагинов, что позволяет относительно легко их классифицировать», — сказал Кнежевич. «Распознавание этих общих характеристик критически важно для специалистов по безопасности, поскольку позволяет эффективнее обнаруживать и атрибуцировать вредоносное ПО, даже если оно было сильно запутано или лишь поверхностно переименовано».
