AsyncRAT kötü amaçlı yazılımı, ele geçirilmiş sistemlerden hassas verileri çalmak için sofistike bir yöntem kullanıyor. LevelBlue tarafından paylaşılan rapora göre, saldırganlar ConnectWise ScreenConnect platformunu uzaktan erişim için kullanıyor ve ardından dış kaynaklardan gizlenmiş bileşenleri indirip çalıştıran katmanlı VBScript ve PowerShell yükleyicileri devreye alıyor.
Enfeksiyon Zinciri ve Kalıcılık Mekanizması
Bu bileşenler, kodlanmış .NET derlemeleri olarak AsyncRAT’a dönüşüyor ve sahte “Skype Updater” zamanlanmış görevi aracılığıyla sistemde kalıcılık sağlanıyor. Tehdit aktörleri, ScreenConnect oturumlarını manuel olarak başlatıp Visual Basic Script yükünü klavye ile tetikleyerek saldırılarını gerçekleştiriyor. Phishing e-postalarıyla finansal ve iş belgeleri kılığında trojanlanmış ScreenConnect yükleyicileri hedeflere ulaştırılıyor.
Yükleme ve Veri Toplama Süreci
PowerShell betiği, saldırgan kontrolündeki sunucudan “logs.ldk” ve “logs.ldr” adlı iki dış yükü indiriyor. “logs.ldk” diske ikincil bir Visual Basic Script yazarak, zamanlanmış görevle her oturum açmada otomatik çalışmayı sağlıyor. “logs.ldr” ise .NET derlemesine girdi olarak kullanılıyor ve AsyncRAT ikili dosyası “AsyncClient.exe” çalıştırılıyor.
Çalınan Veriler ve Komut Kontrol İletişimi
AsyncRAT, tuş vuruşlarını kaydetme, tarayıcı kimlik bilgilerini çalma, sistem parmak izi oluşturma ve Google Chrome, Brave, Microsoft Edge, Opera ile Mozilla Firefox’ta yüklü kripto para cüzdanı masaüstü uygulamaları ve tarayıcı uzantılarını tarama yeteneklerine sahip. Toplanan veriler, TCP soketi üzerinden “3osch20.duckdns[.]org” adresindeki komut ve kontrol (C2) sunucusuna iletiliyor. C2 bağlantı ayarları sabit kodlanmış veya uzak bir Pastebin URL’sinden çekiliyor.
Dosyasız Kötü Amaçlı Yazılımların Zorlukları
LevelBlue, dosyasız kötü amaçlı yazılımların meşru sistem araçlarını kullanarak bellek üzerinde çalışmasının, tespit ve analiz süreçlerini zorlaştırdığını vurguluyor. Bu yöntem, modern siber güvenlik savunmaları için önemli bir tehdit oluşturuyor.