Cybersecurity -onderzoekers hebben de evolutie in kaart gebracht van een veelgebruikte Trojan op afstand genaamd Asyncratdie voor het eerst werd uitgebracht op GitHub in januari 2019 en sindsdien als basis is gediend voor verschillende andere varianten.
“Asyncrat heeft zijn plaats gecementeerd als een hoeksteen van moderne malware en als een doordringende dreiging die is geëvolueerd tot een uitgestrekt netwerk van vorken en varianten,” zei ESET -onderzoeker Nikola Knežević in een rapport gedeeld met het hacker -nieuws.
“Hoewel de mogelijkheden ervan op zichzelf niet zo indrukwekkend zijn, is het de open-source aard van asyncrat die de impact ervan echt heeft versterkt. De plug-in gebaseerde architectuur en het gemak van aanpassing hebben de proliferatie van veel vorken aangewakkerd, waardoor de grenzen nog verder worden geduwd”
Terwijl de evolutie van Asyncrat zijn technische aanpassingsvermogen benadrukt, komt de impact van de echte wereld voort uit hoe het wordt ingezet in opportunistische phishing-campagnes en gebundeld met laders zoals gulolozer of rokeroader. Deze leveringsmethoden maken een snelle distributie mogelijk door gekraakte software, kwaadaardige advertenties of nep -updates – gericht op gebruikers in zowel zakelijke als consumentenomgevingen. Zonder vroege detectie fungeert asyncrat vaak als een hulpmiddel voor informatiediefstal en afstandsbediening.
Voor het eerst gepubliceerd op GitHub door Nyan Cat, is de op C#gebaseerde malware uitgerust om screenshots vast te leggen, toetsaanslagen te blokkeren, referenties te stelen en aanvallers in staat te stellen vaste systemen te commandant te bevelen, exfiltraatgegevens en kwaadaardige instructies uitvoeren.
De eenvoud en open-source aard van de modulaire tool, in combinatie met zijn modulaire architectuur en verbeterde stealth-functies, heeft het niet alleen erg aanpasbaar en moeilijker te detecteren, maar ook een aantrekkelijke optie voor dreigingsacteurs, zoals blijkt uit de talloze campagnes die de dreiging door de jaren heen distribueren.
Het Slowaakse cybersecuritybedrijf zei dat het “basiswerk” voor asyncrat eerder werd gelegd door een andere open-source rat die bekend staat als Quasar Rat (aka cinarat of yggdrasil) die sinds 2015 beschikbaar is op GitHub. Hoewel beide malware-stammen worden gecodeerd in C#, zijn de brede verschillen tussen de suggestie die veel meer was dan een valler: het was een valler: het was veel meer dan een vorst: het was een grote herwripen.
De twee stukken malware worden verenigd door het gebruik van dezelfde aangepaste cryptografieklassen die worden gebruikt om de configuratie -instellingen van de malware te decoderen. Sinds de release van asyncrat heeft de malware verschillende varianten voortgebracht, waaronder dcrat (aka darkcrystal rat) en gifrat.
Dcrat markeert een aanzienlijke verbetering ten opzichte van asyncrat, verpakken in ontwijkingstechnieken om onder de radar te vliegen en de mogelijkheden te vergroten om webcamgegevens, microfoonopnames en onenigheidstokens te verzamelen, naast zelfs een module om bestanden te coderen.
“Dcrat implementeert ook ontwijkingstechnieken zoals AMSI en ETW -patching, die werken door beveiligingsfuncties uit te schakelen die kwaadaardig gedrag detecteren en loggen,” zei ESET. “Addi5onally heeft het een anti-processysteem waarbij processen waarvan de namen overeenkomen met die in een denylist worden beëindigd.”
Venom Rat daarentegen zou zijn geïnspireerd door DCRAT, terwijl hij ook voldoende unieke eigenschappen inpakt.
“Hoewel ze inderdaad tot de quasar ratfamilie behoren, zijn ze nog steeds verschillende ratten,” merkte Rapid7 -onderzoeker Anna Širokova op in een analyse van asyncrat en gif rat in november 2024. “Venom rat presenteert meer geavanceerde ontwijkingstechnieken, waardoor het een meer verfijnde dreiging is.”
ESET zei dat het ook minder bekende varianten van asyncrat identificeerde, zoals NoEUclid Rat, die plug-ins opneemt aan brute-force SSH en FTP-referenties, verzamelen geolocatie, fungeren als een clipper door klembordgegevens te vervangen door de cryptocurrency-portemonnee-adressen van de aanvaller.
Jasonrat, van zijn kant, introduceert zelf op maat gemaakte veranderingen, zoals de mogelijkheid om zich te richten op systemen op basis van het land. Evenzo beschikt Xiebrorat over een browser -inloggegevens en een plug -in om te communiceren met Cobalt Strike -servers via een omgekeerde verbinding. Het is ook aangepast voor de Chinese markt.
“Asyncrat’s opkomst en zijn daaropvolgende vorken benadrukken de inherente risico’s van open-source malwarekaders,” zei Eset. “Al deze vorken breiden niet alleen de technische mogelijkheden van Asyncrat uit, maar demonstreren ook hoe snel en creatief bedreigingsacteurs kunnen worden aangepast en opnieuw kunnen worden aangepast aan open-source code.”
“The widespread availability of such frameworks significantly lowers the barrier to entry for aspiring cybercriminals, enabling even novices to deploy sophisticated malware with minimal effort. This democratization of malware development – especially considering the rising popularity of LLMs and potential to misuse their capabilities – further accelerates the creation and customization of malicious tools, contributing to a rapidly expanding and increasingly complex Bedreigingslandschap. “
Deze verschuiving heeft ook de opkomst van malware-as-a-service (MAAS) aangewakkerd, waar vooraf geconfigureerde asyncrat bouwers en plug-and-play modules openlijk worden verkocht op telegram- en donkere webforums. De groeiende overlapping tussen open-source malware, penetratietesttools en commerciële externe toegangskaders compliceert toeschrijving en verdediging.
Voor beveiligingsteams betekent dit een grotere focus op gedragsdetectie, command-and-control (C2) -analyse en begrijpen ze hoe filess persistentie, klembordkaping en diefstal van diefstal in moderne malwarecampagnes convergeren.
