آزمایشگاههای تحقیقاتی و اطلاعاتی Cyble کمپینی را شناسایی کرد که با استفاده از فایلهای مخرب LNK در قالب تصاویر پسزمینه، کاربران را به منظور استقرار AsyncRAT فریب میدهند.
این بدافزار فرآیند اجرای چند مرحلهای و اسکریپتهای مبهم پاورشل را برای واکشی پیلودهای اضافی از سرور راه دور به کار میگیرد. عوامل تهدید (TA) مرتبط با این کمپین از ابزار منبع باز Null-AMSI برای دور زدن بدافزار Scan Interface (AMSI) و Event Tracing ویندوز (ETW) استفاده میکنند. اسکریپت پاورشل که برای دور زدن AMSI و ETW استفاده میشود، حاوی نظرات و پیامهای خطا به زبان پرتغالی است و بیانگر پرتغالی بودن نفوذگران میباشد. AsyncRAT از رمزگذاری AES و فشردهسازی GZIP برای پنهانسازی پیلودهای خود استفاده میکند که تجزیه و تحلیل و شناسایی مولفههای مخرب را برای ابزارهای امنیتی دشوارتر میسازد.
https://cyble.com/blog/null-amsi-evading-security-to-deploy-asyncrat/
