23/09/24
Пользователи, желающие получить доступ к платным программам бесплатно, становятся жертвами этого трояна, не подозревая, что за внешне безобидной программой скрывается опасное вредоносное ПО.
Согласно отчету McAfee, эта угроза распространяется с марта 2024 года и охватила множество устройств по всему миру. AsyncRAT используется злоумышленниками для удалённого управления заражёнными компьютерами, кражи конфиденциальной информации и получения полного контроля над устройством, пишет Securitylab.
Одним из популярных методов распространения вредоносного ПО стал маскарад под известные программы, такие как CCleaner, Sidify Music Converter, EaseUS Partition Master и YouTube Downloader. Однако наиболее заметным является случай с поддельной версией AnyDesk. Вредоносное ПО использует подлинный файл AnyDesk для создания видимости работы легального приложения, в то время как основная атака происходит скрытно.
После того как пользователь запускает поддельный установочный файл, происходит ряд скрытых операций: вредоносный код изменяет системные настройки, создаёт исключения для Windows Defender и запускает PowerShell для выполнения скрытых команд. В процессе атаки выполняется подмена и запуск различных файлов, что позволяет вредоносной программе закрепиться в системе и продолжать свою деятельность, оставаясь незамеченной.
AsyncRAT использует сложные методы обфускации кода, что затрудняет его анализ. Вредоносная программа применяет шифрование и сжатие данных, а затем загружает дополнительные компоненты для расширения своих возможностей. В числе этих функций — антиотладка, скрытая передача данных и постоянное подключение к управляющему серверу, расположенному на домене orostros.mywire.org.
Рост популярности AsyncRAT и его распространение через пиратские программы подчёркивают постоянно меняющиеся тактики киберпреступников. Используя заманчивые предложения «бесплатного» ПО, злоумышленники получают несанкционированный доступ к тысячам компьютеров по всему миру.
