Он выглядел как безобидный код, но обманул всех и стал главной угрозой десятилетия.
AsyncRAT, впервые опубликованный на GitHub в январе 2019 года, с течением времени превратился в один из самых влиятельных инструментов в арсенале киберпреступников. Благодаря своей открытой архитектуре, написанной на C#, он стал основой для многочисленных ответвлений и модификаций, которые использовались для создания всё более изощрённых вредоносных программ.
Недавний анализ , проведённый специалистами из ESET, показал, как этот, на первый взгляд, не особо впечатляющий по функциональности троян, благодаря своей доступности, модульной структуре и лёгкости в настройке, трансформировался в полноценную платформу для управления заражёнными системами.
Изначально AsyncRAT создавался как простой инструмент удалённого доступа, способный делать скриншоты, записывать нажатия клавиш, красть учётные данные и выполнять команды злоумышленников. Однако его настоящее влияние стало проявляться по мере роста числа форков, распространяемых в основном через фишинговые кампании и загрузчики вроде GuLoader и SmokeLoader. Эти схемы доставки позволяют маскировать угрозу под взломанное ПО, поддельные обновления или вредоносную рекламу, направленную как на частных пользователей, так и на корпоративные сети.
AsyncRAT оказался особенно привлекательным для преступного сообщества из-за своей гибкости. Он быстро адаптировался к новым условиям, стал труднее для обнаружения, и получил более изощрённые возможности за счёт подключаемых модулей. С течением времени на его основе появились десятки новых вариантов вредоносных программ, включая DCRat , Venom RAT , JasonRAT, XieBroRAT и менее известный NonEuclid RAT.
DCRat, также известный как DarkCrystal RAT, стал качественным шагом вперёд по сравнению с исходным AsyncRAT. Он включает техники обхода защиты, такие как патчинг AMSI и ETW, которые отключают механизмы обнаружения вредоносной активности. Дополнительно он может собирать записи с микрофона и веб-камеры, похищать Discord-токены и даже шифровать файлы жертвы. Venom RAT, вдохновлённый DCRat, также получил уникальные функции и стал ещё более продвинутым с точки зрения скрытности.
Другие форки, такие как NonEuclid RAT, ориентированы на перебор SSH и FTP-паролей, подмену содержимого буфера обмена с целью кражи криптовалюты и даже заражение других исполняемых файлов. JasonRAT добавил таргетинг по географии, а XieBroRAT стал адаптирован под китайский рынок и научился взаимодействовать с Cobalt Strike-серверами.
Корни AsyncRAT восходят к более раннему проекту — Quasar RAT , также основанному на C#, он появился на GitHub ещё в 2015 году. Несмотря на общее происхождение, AsyncRAT представляет собой скорее переработку, чем прямой форк, хотя обе программы используют схожие криптографические механизмы для дешифровки настроек.
Открытая доступность подобных инструментов резко снизила планку входа в киберпреступность. Теперь даже начинающие злоумышленники могут запускать сложные вредоносные кампании с минимальными усилиями, особенно в условиях, когда к ним добавляется возможность автоматизации с помощью языковых моделей. Это, в свою очередь, способствует развитию модели «вредоносного ПО как услуги» — преднастроенные сборки AsyncRAT и их модули свободно продаются в Telegram и на теневых форумах.
Отдельную сложность создаёт слияние границ между вредоносными программами, легитимными средствами удалённого администрирования и инструментами для тестирования на проникновение. Это затрудняет идентификацию угроз и разработку защитных мер. Для служб безопасности это означает необходимость уделять больше внимания поведенческому анализу, исследованию каналов командного управления и пониманию таких современных техник, как бесследное закрепление в системе, захват буфера обмена и кража учётных данных.