L’article publié par les chercheurs d’ESET explore en détail les variantes et forks du malware AsyncRAT, un cheval de Troie d’accès à distance asynchrone open-source. Initialement publié sur GitHub en 2019, AsyncRAT a été largement adopté par les cybercriminels en raison de sa nature open-source et de ses fonctionnalités modulaires.
Les chercheurs d’ESET ont cartographié les relations complexes entre les nombreuses variantes d’AsyncRAT, mettant en lumière comment ces forks ont évolué et se sont interconnectés. Parmi les variantes les plus répandues figurent DcRat et VenomRAT, qui représentent une part significative des campagnes malveillantes observées. DcRat, par exemple, se distingue par ses améliorations en termes de fonctionnalités et de techniques d’évasion, telles que le MessagePack pour la sérialisation des données et le bypass AMSI et ETW.
L’analyse met également en avant des forks moins connus comme NonEuclid RAT, qui introduit des plugins uniques tels que WormUsb.dll pour la propagation de logiciels malveillants via des fichiers exécutables. D’autres variantes, comme JasonRAT et XieBroRAT, présentent des caractéristiques distinctives, telles que l’obfuscation par code Morse étendu et la localisation en chinois.
Les indicateurs de compromission (IoCs) et les techniques MITRE ATT&CK associées à ces forks sont détaillés, offrant un aperçu précieux pour les professionnels de la cybersécurité. Les IoCs incluent des fichiers et des hash SHA-1 spécifiques, tandis que les TTPs couvrent des techniques telles que la capture audio et vidéo, la collecte de données de presse-papiers, et l’évasion des défenses.
Cet article est une publication de recherche visant à fournir une compréhension approfondie de l’écosystème des forks d’AsyncRAT, soulignant les risques associés aux frameworks de malware open-source et l’importance de stratégies de détection proactives.
🔗 Source originale : https://www.welivesecurity.com/en/eset-research/unmasking-asyncrat-navigating-labyrinth-forks/