【安全资讯】传播AsyncRAT木马的钓鱼活动

引言

AsyncRAT是一种远程访问木马，具有键盘记录、捕获屏幕、系统配置管理等功能。近日，研究人员观察到一种新的、复杂的活动交付方式，攻击者通过带有 html 附件的电子邮件网络钓鱼策略，提供 AsyncRAT，旨在监控受感染的计算机。

简况

攻击始于一封包含HTML附件的电子邮件，附件伪装成订单确认收据（如Receipt-<digits>.html）。收件人打开诱饵文件后会被重定向到一个网页，该网页提示用户保存ISO文件。

与其他网络钓鱼攻击不同，最新的RAT活动巧妙地使用JavaScript从Base64编码的字符串在本地创建ISO文件并模拟下载过程，如下图：

当受害者打开ISO文件时，它会自动挂载为Windows主机上的DVD驱动器，并包含一个.BAT或一个.VBS文件，该文件会继续感染链，通过执行PowerShell命令检索下一阶段的组件。

这会导致在内存中执行.NET模块，该模块随后充当三个文件的dropper，最终交付AsyncRAT作为最终有效负载，同时还检查防病毒软件并设置Windows Defender排除项。

总结

这种新的交付方式复杂且隐蔽，尽管该操作已持续近五个月，但大多数反恶意软件引擎几乎没有检测到该恶意软件。