{"id":21758,"date":"2025-02-05T15:29:14","date_gmt":"2025-02-05T18:29:14","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=21758"},"modified":"2025-02-05T15:35:16","modified_gmt":"2025-02-05T18:35:16","slug":"asyncrat-usa-payloads-python-e-tuneis-trycloudflare","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/02\/diversos\/asyncrat-usa-payloads-python-e-tuneis-trycloudflare\/","title":{"rendered":"AsyncRAT usa payloads Python e t\u00faneis TryCloudflare"},"content":{"rendered":"\n

Campanha AsyncRAT usa payloads Python e t\u00faneis TryCloudflare para ataques furtivos<\/strong><\/p>\n

Uma campanha de malware recentemente observada est\u00e1 distribuindo um\u00a0Remote Access Trojan (RAT)<\/strong>\u00a0chamado\u00a0AsyncRAT<\/strong>\u00a0por meio de\u00a0payloads em Python<\/strong>\u00a0e t\u00faneis\u00a0TryCloudflare<\/strong>. Essa campanha destaca como os atacantes est\u00e3o utilizando ferramentas leg\u00edtimas e t\u00e9cnicas avan\u00e7adas para realizar ataques furtivos e eficazes.<\/p>\n

Neste artigo, vamos explorar como essa campanha funciona, como voc\u00ea pode se proteger e, ainda, como a programa\u00e7\u00e3o em Python pode ser usada tanto para mitigar quanto para entender (em um contexto \u00e9tico) esses ataques. Vamos apresentar exemplos de scripts que podem ajudar a identificar e bloquear comportamentos maliciosos.<\/p>\n

\u00a0<\/p>\n

O que \u00e9 o AsyncRAT?<\/strong><\/p>\n

O\u00a0AsyncRAT<\/strong>\u00a0\u00e9 um trojan de acesso remoto que explora o padr\u00e3o\u00a0async\/await<\/strong>\u00a0para comunica\u00e7\u00e3o ass\u00edncrona eficiente. Ele permite que os atacantes controlem sistemas infectados de forma furtiva, exfiltrem dados e executem comandos enquanto permanecem ocultos. Essa capacidade o torna uma amea\u00e7a cibern\u00e9tica significativa.<\/p>\n

A campanha come\u00e7a com um\u00a0e-mail de phishing<\/strong>\u00a0que cont\u00e9m um link para o Dropbox. Ao clicar no link, um arquivo ZIP \u00e9 baixado. Dentro do ZIP, h\u00e1 um arquivo de atalho da internet (URL) que redireciona para um arquivo\u00a0LNK<\/strong>\u00a0do Windows. Esse arquivo LNK, por sua vez, executa um c\u00f3digo JavaScript via PowerShell, que baixa e executa um script em lote (BAT). Esse script \u00e9 respons\u00e1vel por baixar um segundo arquivo ZIP contendo o payload em Python que instala o AsyncRAT e outros malwares, como\u00a0Venom RAT<\/strong>\u00a0e\u00a0Xworm<\/strong>.<\/p>\n

\u00a0<\/p>\n

\"\"<\/a><\/p>\n

\u00a0<\/p>\n

Como o TryCloudflare \u00e9 usado?<\/strong><\/p>\n

O\u00a0TryCloudflare<\/strong>\u00a0\u00e9 um servi\u00e7o leg\u00edtimo oferecido pela Cloudflare que permite expor servidores web \u00e0 internet sem abrir portas. Ele cria um t\u00fanel tempor\u00e1rio (um subdom\u00ednio em\u00a0trycloudflare[.]com<\/strong>) que redireciona o tr\u00e1fego para o servidor do atacante. Nessa campanha, os criminosos usam o TryCloudflare para hospedar arquivos maliciosos e evitar detec\u00e7\u00e3o, aproveitando a confian\u00e7a associada ao nome Cloudflare.<\/p>\n

\u00a0<\/p>\n

Mitiga\u00e7\u00e3o com Python: exemplos pr\u00e1ticos<\/strong><\/p>\n

A programa\u00e7\u00e3o em Python pode ser uma grande aliada na luta contra campanhas como essa. Abaixo, apresentamos dois exemplos de scripts que podem ajudar a identificar e bloquear atividades suspeitas.<\/p>\n

\u00a0<\/p>\n

1.\u00a0Detector de URLs maliciosas<\/strong><\/p>\n

Este script verifica se uma URL est\u00e1 em uma lista de dom\u00ednios suspeitos ou se cont\u00e9m palavras-chave associadas a golpes.<\/p>\n

\u00a0<\/p>\n

# Lista de dom\u00ednios suspeitos e palavras-chave<\/span>\ndominios_suspeitos =<\/span> [<\/span>\"trycloudflare.com\"<\/span>,<\/span> \"dropbox.com\"<\/span>]<\/span>\npalavras_chave_golpes =<\/span> [<\/span>\"login\"<\/span>,<\/span> \"credentials\"<\/span>,<\/span> \"password\"<\/span>,<\/span> \"update\"<\/span>]<\/span>\n\ndef<\/span> verificar_url_suspeita<\/span>(<\/span>url)<\/span>:<\/span>\n    url =<\/span> url.<\/span>lower(<\/span>)<\/span>\n    for<\/span> dominio in<\/span> dominios_suspeitos:<\/span>\n        if<\/span> dominio in<\/span> url:<\/span>\n            return<\/span> f\"ATEN\u00c7\u00c3O: A URL <\/span>{<\/span>url}<\/span><\/span> cont\u00e9m um dom\u00ednio suspeito: <\/span>{<\/span>dominio}<\/span><\/span>.\"<\/span><\/span>\n    for<\/span> palavra in<\/span> palavras_chave_golpes:<\/span>\n        if<\/span> palavra in<\/span> url:<\/span>\n            return<\/span> f\"ATEN\u00c7\u00c3O: A URL <\/span>{<\/span>url}<\/span><\/span> cont\u00e9m uma palavra-chave suspeita: '<\/span>{<\/span>palavra}<\/span><\/span>'.\"<\/span><\/span>\n    return<\/span> \"A URL parece segura.\"<\/span>\n\n# Exemplo de uso<\/span>\nurl_recebida =<\/span> \"https:\/\/trycloudflare.com\/malicious-link\"<\/span>\nprint<\/span>(<\/span>verificar_url_suspeita(<\/span>url_recebida)<\/span>)


<\/span><\/strong><\/pre>\n
2.\u00a0Monitor de processos suspeitos<\/strong><\/p>\n
Este script monitora processos em execu\u00e7\u00e3o no sistema e alerta se detectar atividades suspeitas, como o uso de PowerShell para baixar scripts.<\/p>\n
\u00a0<\/p>\n
import<\/span> psutil\n\n# Lista de processos suspeitos<\/span>\nprocessos_suspeitos =<\/span> [<\/span>\"powershell.exe\"<\/span>,<\/span> \"cmd.exe\"<\/span>,<\/span> \"python.exe\"<\/span>]<\/span>\n\ndef<\/span> monitorar_processos<\/span>(<\/span>)<\/span>:<\/span>\n    for<\/span> processo in<\/span> psutil.<\/span>process_iter(<\/span>[<\/span>'pid'<\/span>,<\/span> 'name'<\/span>]<\/span>)<\/span>:<\/span>\n        if<\/span> processo.<\/span>info[<\/span>'name'<\/span>]<\/span> in<\/span> processos_suspeitos:<\/span>\n            print<\/span>(<\/span>f\"ATEN\u00c7\u00c3O: Processo suspeito detectado - PID: <\/span>{<\/span>processo.<\/span>info[<\/span>'pid'<\/span>]<\/span>}<\/span><\/span>, 
Nome: <\/span>{<\/span>processo.<\/span>info[<\/span>'name'<\/span>]<\/span>}<\/span><\/span>\"<\/span><\/span>)<\/span>\n\n# Exemplo de uso<\/span>\nmonitorar_processos(<\/span>)<\/span><\/strong><\/pre>\n
\u00a0<\/p>\n
Criar um script para\u00a0detectar e alertar sobre uma simula\u00e7\u00e3o de shell remoto\u00a0\u00e9 uma pr\u00e1tica importante para monitorar atividades suspeitas em um sistema. Abaixo, apresento um exemplo de script em Python que monitora conex\u00f5es de rede e processos em execu\u00e7\u00e3o para identificar poss\u00edveis tentativas de abrir um shell remoto. O script envia alertas quando detecta atividades suspeitas, como conex\u00f5es em portas incomuns ou processos de shell sendo executados.<\/span><\/p>\n
\u00a0<\/p>\n
Script de detec\u00e7\u00e3o e alerta de shell remoto<\/strong><\/p>\n
Este script monitora:<\/p>\n