Se ha detectado una campaña maliciosa que distribuye el troyano de acceso remoto conocido como AsyncRAT, utilizando cargas útiles desarrolladas en Python y proporcionados por Cloudflare Tunnel.

Una investigadora de Forcepoint X-Labs, sostiene que «AsyncRAT utiliza el patrón async/await para lograr una comunicación eficiente y asíncrona. Esto permite a los atacantes controlar discretamente sistemas comprometidos, extraer información y ejecutar comandos mientras permanecen ocultos«

El ataque se inicia con un correo de phishing que incluye un enlace a Dropbox. Al hacer clic, se descarga un archivo comprimido en formato ZIP, dentro se encuentra un enlace que actúa como vía de acceso a un archivo LNK de Windows, diseñado para propagar la infección. Mientras tanto, la víctima visualiza un archivo PDF señuelo que aparenta ser inofensivo.

El archivo LNK se descarga a través de una URL de TryCloudflare (un servicio legítimo de Cloudflare que permite exponer servidores web a Internet sin necesidad de abrir puertos) incrustada en el acceso directo inicial. Una vez ejecutado, activa un comando de PowerShell que ejecuta código JavaScript alojado en el mismo servidor. Esto desencadena un script por lotes (BAT) que descarga un nuevo archivo ZIP, el cual contiene una carga útil de Python diseñada para desplegar múltiples variantes de malware, incluyendo AsyncRAT, Venom RAT y XWorm.

Cabe mencionar que, en 2023, se detectó una variante de esta misma cadena de infección que distribuía otros tipos de malware como GuLoader, PureLogs Stealer, Remcos RAT, además de Venom RAT y XWorm. y que desde entonces hubo un incremento de campañas de phishing con métodos y objetivos específicos:

  • América Latina: Ataques dirigidos a organizaciones mediante documentos legales y recibos oficiales como señuelos para distribuir y ejecutar SapphireRAT.
  • Uso de dominios legítimos: Explotación de sitios gubernamentales (.gov) para alojar páginas falsas diseñadas para recolectar credenciales de Microsoft 365.
  • Suplantación de entidades financieras: Campañas que imitan agencias tributarias y financieras en países como Australia, Suiza, el Reino Unido y Estados Unidos, con el objetivo de obtener credenciales, realizar fraudes financieros y distribuir malware como AsyncRAT, MetaStealer, Venom RAT y XWorm.
  • Servicios de federación de Microsoft Active Directory (ADFS): Suplantación de páginas de inicio de sesión para capturar credenciales y códigos de autenticación multifactor (MFA), facilitando ataques financieros mediante correo electrónico.
  • Uso de Cloudflare Workers: Hospedaje de páginas fraudulentas que simulan servicios en línea conocidos para la recolección de credenciales.
  • Ataques a organizaciones alemanas: Distribución del implante Sliver bajo la apariencia de contratos laborales.
  • Evasión de filtros de seguridad: Empleo de caracteres de unión de ancho cero y guiones suaves (SHY) para eludir controles de seguridad en las URL de correos de phishing.
  • Campaña ApateWeb: Difusión de URL maliciosas que despliegan scareware, programas potencialmente no deseados (PUP) y otras páginas fraudulentas.

Fuente:

asyncrat campaign uses python payloads

asyncrat reloaded python trycloudflare malware