{"id":19182,"date":"2022-01-30T18:44:23","date_gmt":"2022-01-30T21:44:23","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19182"},"modified":"2022-01-30T18:44:26","modified_gmt":"2022-01-30T21:44:26","slug":"hackers-usam-nova-tecnica-evasiva-para-entregar-malware-asyncrat","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/01\/basico\/hackers-usam-nova-tecnica-evasiva-para-entregar-malware-asyncrat\/","title":{"rendered":"Hackers usam nova t\u00e9cnica evasiva para entregar malware AsyncRAT"},"content":{"rendered":"\n<p style=\"text-align: justify;\"><span><span class=\"goog-text-highlight\">Um novo e sofisticado ataque de phishing foi observado entregando o trojan AsyncRAT como parte de uma campanha de malware que se acredita ter come\u00e7ado em setembro de 2021.<\/span><\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>\u201cAtrav\u00e9s de uma simples t\u00e1tica de phishing de e-mail com um anexo HTML, os invasores de amea\u00e7as est\u00e3o entregando o AsyncRAT (um trojan de acesso remoto) projetado para monitorar e controlar remotamente seus computadores infectados por meio de uma conex\u00e3o segura e criptografada\u201d, conforme Michael Derevashkin, pesquisador de seguran\u00e7a da empresa de preven\u00e7\u00e3o de viola\u00e7\u00f5es corporativas <span class=\"goog-text-highlight\">Morphisec <\/span><span class=\"goog-text-highlight\">em um relat\u00f3rio.<\/span><\/span><span><br \/><\/span><\/p>\n<div class=\"clear post-head\">\n<div class=\"postmeta\">\u00a0<\/div>\n<\/div>\n<div id=\"articlebody\" class=\"articlebody clear cf\">\n<div class=\"separator\"><a href=\"https:\/\/thehackernews-com.translate.goog\/new-images\/img\/a\/AVvXsEhRMkeTY322SKU_Je118Iv5Q_yqpaGciGACy3uP7EqJwIwi1bEkuVbq-mP52NzKis4dKwiZwu7kmIkBytKIgUSlCNsbrUSiZQt2nQKilyzAjyOd6Pi432aA-gyfvK4u5x_IgDrSjBZGtEO4xSt9DXnmsrqoIxiN6zp28c0AEBJ9fwYgExYgkw0vWLna?_x_tr_sl=auto&amp;_x_tr_tl=pt&amp;_x_tr_hl=pt\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" title=\"Malware AsyncRAT\" src=\"https:\/\/thehackernews.com\/new-images\/img\/a\/AVvXsEhRMkeTY322SKU_Je118Iv5Q_yqpaGciGACy3uP7EqJwIwi1bEkuVbq-mP52NzKis4dKwiZwu7kmIkBytKIgUSlCNsbrUSiZQt2nQKilyzAjyOd6Pi432aA-gyfvK4u5x_IgDrSjBZGtEO4xSt9DXnmsrqoIxiN6zp28c0AEBJ9fwYgExYgkw0vWLna=s728-e1000\" alt=\"Malware AsyncRAT\" width=\"596\" height=\"311\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" \/><\/a><\/div>\n<\/div>\n<div>\u00a0<\/div>\n<div>\n<p style=\"text-align: justify;\"><span><span class=\"goog-text-highlight\">As invas\u00f5es come\u00e7am com uma mensagem de e-mail contendo um anexo HTML disfar\u00e7ado como um recibo de confirma\u00e7\u00e3o do pedido (por exemplo, Recibo-&lt;d\u00edgitos&gt;.html). <\/span>A abertura do arquivo chamariz redireciona o destinat\u00e1rio da mensagem para uma p\u00e1gina da Web solicitando que o usu\u00e1rio salve um arquivo ISO.<\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>Mas, ao contr\u00e1rio de outros ataques que encaminham a v\u00edtima para um dom\u00ednio de phishing configurado explicitamente para baixar o malware do pr\u00f3ximo est\u00e1gio, a campanha RAT mais recente usa JavaScript para criar localmente o arquivo ISO a partir de uma string codificada em Base64 e imitar o processo de download.<\/span><\/p>\n<p>\u00a0<\/p>\n<\/div>\n<div class=\"separator\"><a href=\"https:\/\/thehackernews-com.translate.goog\/new-images\/img\/a\/AVvXsEgH99Y0IbCarJnz14qGcUGytvJRXunOpBu7lVIOFbsMbL2JahYb4oIdyzKmvvsL5kE1q62Ux0GoFRmfiwYORoUJm_fJ7SoyF4BhkyzRdIKIa2jYtPDTybb_SYwHCX3Q_gsQNuTh8uI4yenBT8lPs7D_i-u54mKsS3oyw-VbuqU69ycqgzdsDzWRflOQ?_x_tr_sl=auto&amp;_x_tr_tl=pt&amp;_x_tr_hl=pt\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" title=\"Malware AsyncRAT\" src=\"https:\/\/thehackernews.com\/new-images\/img\/a\/AVvXsEgH99Y0IbCarJnz14qGcUGytvJRXunOpBu7lVIOFbsMbL2JahYb4oIdyzKmvvsL5kE1q62Ux0GoFRmfiwYORoUJm_fJ7SoyF4BhkyzRdIKIa2jYtPDTybb_SYwHCX3Q_gsQNuTh8uI4yenBT8lPs7D_i-u54mKsS3oyw-VbuqU69ycqgzdsDzWRflOQ=s728-e1000\" alt=\"Malware AsyncRAT\" width=\"597\" height=\"400\" border=\"0\" data-original-height=\"488\" data-original-width=\"728\" \/><\/a><\/div>\n<div style=\"text-align: justify;\">\u00a0<\/div>\n<div>\n<p style=\"text-align: justify;\"><span><span class=\"goog-text-highlight\">\u201cO download ISO n\u00e3o \u00e9 gerado a partir de um servidor remoto, mas de dentro do navegador da v\u00edtima por um c\u00f3digo JavaScript que est\u00e1 embutido no arquivo de recibo HTML\u201d, explicou Derevashkin.<\/span><\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>Quando a v\u00edtima abre o arquivo ISO, ele \u00e9 montado automaticamente como uma unidade de DVD no host do Windows e inclui um arquivo .BAT ou .VBS, que continua a cadeia de infec\u00e7\u00e3o para recuperar um componente do pr\u00f3ximo est\u00e1gio por meio de uma execu\u00e7\u00e3o de comando do PowerShell.<\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>Isso resulta na execu\u00e7\u00e3o de um m\u00f3dulo .NET na mem\u00f3ria que subsequentemente atua como um dropper para tr\u00eas arquivos, sendo um atuando como um gatilho para o pr\u00f3ximo, para finalmente entregar o AsyncRAT como a carga \u00fatil final, enquanto tamb\u00e9m verifica se h\u00e1 software antiv\u00edrus e configura Exclus\u00f5es do Windows Defender.<\/span><\/p>\n<\/div>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span><span class=\"goog-text-highlight\">RATs como o AsyncRAT s\u00e3o normalmente usados \u200b\u200bpara forjar um link remoto entre um agente de amea\u00e7a e um dispositivo da v\u00edtima, roubar informa\u00e7\u00f5es e conduzir vigil\u00e2ncia por meio de microfones e c\u00e2meras. <\/span>Eles fornecem uma variedade de recursos avan\u00e7ados que d\u00e3o aos invasores a capacidade de monitorar e controlar totalmente as m\u00e1quinas comprometidas.<\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>A Morphisec tamb\u00e9m destacou as t\u00e1ticas avan\u00e7adas da campanha, que permitiram que o malware ultrapassassem\u00a0 <\/span><span>praticamente sem ser <\/span> <span>detectado<\/span><span> pela maioria dos mecanismos antimalware, apesar da opera\u00e7\u00e3o estar em vigor por quase cinco meses.<\/span><\/p>\n<p>\u00a0<\/p>\n<p>Este artigo \u00e9 uma tradu\u00e7\u00e3o de:\u00a0<a href=\"https:\/\/thehackernews.com\/2022\/01\/hackers-using-new-evasive-technique-to.html?m=1\" target=\"_blank\" rel=\"noopener\"> https:\/\/thehackernews.com\/2022\/01\/hackers-using-new-evasive-technique-to.html?m=1\u00a0<\/a> Autor: <span class=\"author\">Ravie Lakshmanan<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Um novo e sofisticado ataque de phishing foi observado entregando o trojan AsyncRAT como parte de uma campanha de malware que se acredita ter come\u00e7ado em setembro de 2021. \u00a0 \u201cAtrav\u00e9s de uma simples t\u00e1tica de phishing de e-mail com um anexo HTML, os invasores de amea\u00e7as est\u00e3o entregando o AsyncRAT (um trojan de acesso [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":19184,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105,99],"tags":[],"class_list":["post-19182","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias","category-novidades"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19182","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19182"}],"version-history":[{"count":2,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19182\/revisions"}],"predecessor-version":[{"id":19185,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19182\/revisions\/19185"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19184"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19182"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19182"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19182"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}