Una recente campagna di malware ha portato alla ribalta un trojan di accesso remoto noto come AsyncRAT, utilizzando payload in Python e tunnel TryCloudflare per attacchi furtivi. AsyncRAT è un trojan che sfrutta il modello di programmazione asincrona per comunicare in modo efficiente e discreto, consentendo agli aggressori di controllare i sistemi infetti, esfiltrare dati ed eseguire comandi senza essere rilevati. Questo lo rende una minaccia significativa nel panorama della sicurezza informatica.

Il punto di partenza dell'attacco

Il punto di partenza dell'attacco è un'email di phishing che contiene un URL Dropbox. Cliccando su questo link, si scarica un archivio ZIP contenente un file di collegamento Internet, che funge da tramite per un file di collegamento Windows (LNK) responsabile dell'ulteriore propagazione dell'infezione. Parallelamente, viene mostrato un documento PDF apparentemente innocuo al destinatario del messaggio.

Il file LNK viene recuperato tramite un URL TryCloudflare incorporato nel file URL. TryCloudflare è un servizio legittimo offerto da Cloudflare per esporre server web su Internet senza aprire porte, creando un canale dedicato che instrada il traffico verso il server. Il file LNK attiva PowerShell per eseguire un codice JavaScript ospitato nello stesso percorso, che a sua volta porta a uno script batch (BAT) capace di scaricare un altro archivio ZIP. Quest'ultimo contiene un payload Python progettato per lanciare ed eseguire diverse famiglie di malware, tra cui AsyncRAT, Venom RAT e XWorm.

Varianti e scoperta

È importante notare che una variante di questa sequenza di infezione è stata scoperta lo scorso anno, propagando non solo AsyncRAT, ma anche GuLoader, PureLogs Stealer, Remcos RAT, Venom RAT e XWorm. Un attacco simile sfruttava una vulnerabilità ora corretta di Windows, nota come Mark-of-the-Web (MotW), documentata da un'azienda canadese di sicurezza informatica nel novembre 2024.

Questa campagna di AsyncRAT dimostra come gli hacker possano utilizzare infrastrutture legittime come gli URL Dropbox e i tunnel TryCloudflare a loro vantaggio, ingannando i destinatari facendogli credere nella legittimità delle risorse. La campagna si inserisce in un contesto più ampio di aumento degli attacchi di phishing che utilizzano toolkit di phishing-as-a-service per condurre attacchi di appropriazione di account, reindirizzando gli utenti a pagine fasulle che imitano le pagine di accesso di piattaforme affidabili come Microsoft, Google e Apple.

In sintesi, l'evoluzione delle tecniche di phishing, unita all'uso di servizi legittimi per mascherare le attività malevole, rappresenta una sfida in continua crescita per la sicurezza delle informazioni. Le organizzazioni devono rafforzare le loro difese e formare i loro utenti per riconoscere questi tipi di minacce.