
Kampanye malware telah diamati memberikan Trojan akses jarak jauh (tikus) bernama Asyncrat dengan memanfaatkan muatan Python dan terowongan trycloudflare.
“Asyncrat adalah akses jarak jauh Trojan (tikus) yang mengeksploitasi pola async/menunggu untuk komunikasi yang efisien dan asinkron,” kata peneliti Forcepoint X-Labs Jyotika Singh dalam sebuah analisis.
“Ini memungkinkan penyerang untuk mengontrol sistem yang terinfeksi secara diam -diam, mengekspiltrasi data dan menjalankan perintah sambil tetap tersembunyi – menjadikannya cyberTreat yang signifikan.”
Titik awal rantai serangan multi-tahap adalah email phishing yang berisi URL dropbox yang, setelah mengklik, mengunduh arsip ZIP.
Hadir dalam file adalah file shortcut internet (URL), yang berfungsi sebagai saluran untuk file shortcut windows (LNK) yang bertanggung jawab untuk mengambil infeksi lebih lanjut, sementara dokumen PDF umpan yang tampaknya jinak ditampilkan kepada penerima pesan.

Secara khusus, file LNK diambil dengan cara URL trycloudflare yang tertanam dalam file URL. Trycloudflare adalah layanan yang sah yang ditawarkan oleh CloudFlare untuk mengekspos server web ke internet tanpa membuka port apa pun dengan membuat saluran khusus (yaitu, subdomain di trycloudflare[.]com) itu proxy lalu lintas ke server.
File LNK, untuk bagiannya, memicu PowerShell untuk menjalankan kode JavaScript yang dihosting di lokasi yang sama yang, pada gilirannya, mengarah ke skrip batch (BAT) yang mampu mengunduh arsip zip lain. File ZIP yang baru diunduh berisi muatan Python yang dirancang untuk meluncurkan dan menjalankan beberapa keluarga malware, seperti Asyncrat, Venom Rat, dan Xworm.
Perlu dicatat bahwa sedikit variasi dari urutan infeksi yang sama ditemukan tahun lalu menyebarkan Asyncrat, Guloader, Purelogs Stealer, Remcos Rat, Venom Rat, dan Xworm.
“Kampanye Asyncrat ini sekali lagi menunjukkan bagaimana peretas dapat menggunakan infrastruktur yang sah seperti URL Dropbox dan Trycloudflare untuk keuntungan mereka,” kata Singh. “Payload diunduh melalui URL Dropbox dan infrastruktur terowongan trycloudflare sementara, dengan demikian menipu penerima untuk mempercayai legitimasi mereka.”

Perkembangan ini datang di tengah lonjakan kampanye phishing menggunakan toolkit phishing-as-a-service (PHAAS) untuk melakukan serangan pengambilalihan akun dengan mengarahkan pengguna ke halaman pendaratan palsu yang meniru halaman login platform tepercaya seperti Microsoft, Google, Apple, dan Github.
Serangan rekayasa sosial yang dilakukan melalui email juga telah diamati memanfaatkan akun vendor yang dikompromikan untuk memanen kredensial login Microsoft 365 pengguna, indikasi bahwa aktor ancaman mengambil keuntungan dari rantai pasokan yang saling berhubungan dan kepercayaan yang melekat pada mekanisme otentikasi email yang melekat.
Beberapa kampanye phishing lainnya yang baru -baru ini didokumentasikan dalam beberapa minggu terakhir ada di bawah ini –
- Serangan menargetkan organisasi di seluruh Amerika Latin yang memanfaatkan dokumen dan tanda terima hukum resmi untuk mendistribusikan dan melaksanakan sapphirerat
- Serangan yang mengeksploitasi domain yang sah, termasuk yang termasuk situs web pemerintah (“.gov”), untuk menjadi tuan rumah halaman pemanenan kredensial Microsoft 365
- Serangan menyamar sebagai agen pajak dan organisasi keuangan terkait untuk menargetkan pengguna di Australia, Swiss, Inggris, dan AS untuk menangkap kredensial pengguna, melakukan pembayaran penipuan, dan mendistribusikan malware seperti Asyncrat, Metastealer, Venom Rat, Xworm, Rat Xworm, XWorm,
- Serangan yang memanfaatkan halaman login Microsoft Active Directory Federation Services (ADFS) untuk mengumpulkan kode kredensial dan otentikasi multi-faktor (MFA) untuk serangan email yang termotivasi secara finansial
- Serangan yang mempekerjakan CloudFlare Workers (Workers.dev) untuk menjadi tuan rumah halaman panen kredensial generik yang meniru berbagai layanan online
- Serangan yang menargetkan organisasi Jerman dengan implan sliver dengan kedok kontrak kerja
- Serangan yang memanfaatkan karakter joiner nol-lebar dan tanda hubung lembut (alias pemalu) untuk mem-bypass beberapa pemeriksaan keamanan URL dalam email phishing
- Serangan yang mendistribusikan URL yang terjebak booby yang memberikan Scareware, Program yang Berpotensi Tidak Diinginkan (PUP) dan halaman penipuan lainnya sebagai bagian dari kampanye bernama ApateWeb

Penelitian terbaru oleh Cloudsek juga menunjukkan bahwa dimungkinkan untuk mengeksploitasi infrastruktur Zendesk untuk memfasilitasi serangan phishing dan penipuan investasi.
“Zendesk memungkinkan pengguna untuk mendaftar untuk uji coba gratis platform SaaS mereka, yang memungkinkan pendaftaran subdomain, yang dapat disalahgunakan untuk menyamar sebagai target,” kata perusahaan, menambahkan penyerang kemudian dapat menggunakan subdomain ini untuk mengirimkan email phishing dengan menambahkan Alamat email target sebagai “pengguna” ke portal Zendesk.
“Zendesk tidak melakukan pemeriksaan email untuk mengundang pengguna. Yang berarti bahwa setiap akun acak dapat ditambahkan sebagai anggota. Halaman phishing dapat dikirim, dengan kedok tiket yang ditetapkan ke alamat email.”