GETOVERX FORUM Community Support
AsyncRAT [2019] - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Troyanos (Trojans) (https://forum.getoverx.com/forumdisplay.php?fid=15)
+--- Thread: AsyncRAT [2019] (/showthread.php?tid=112)

AsyncRAT [2019] - mrwebfeeder - 12-05-2025

Nombre: AsyncRAT

Categoría: RAT (Remote Access Trojan) de código abierto / Control remoto + robo de información

Fecha de descubrimiento: Observado en campañas al menos desde 2019

Comportamiento (lo que hace y archivos que infecta):
AsyncRAT (Asynchronous Remote Access Trojan) es un RAT avanzado escrito en .NET, usado para:
- Control remoto completo del sistema (ejecución de comandos, manejo de archivos).
- Keylogging y captura de pantalla.
- Robo de credenciales desde navegadores y aplicaciones.
- Descarga y ejecución de payloads adicionales (incluyendo infostealers y ransomware).

Distribución típica:
- Phishing con adjuntos maliciosos (ZIP, documentos, accesos directos LNK).
- “Loaders” o droppers que abusan de procesos legítimos como aspnet_compiler.exe para inyección de código.
- Campañas que usan cargadores ofuscados con DGAs, decoys y otras técnicas para evadir detección.

A nivel de archivos:
- Crea ejecutables/DLL en carpetas de usuario o %APPDATA%.
- Usa scripts y binarios intermedios para inyección en procesos legítimos.
- Lee ficheros de configuración y bases de datos de aplicaciones para extraer credenciales.

Persistencia:
AsyncRAT suele:
- Copiarse en rutas como %APPDATA% o %LOCALAPPDATA% con nombres que imitan software legítimo.
- Crear claves de Registro de autoejecución.
- Registrar tareas programadas para garantizar su ejecución tras reinicio.
En algunos casos aprovecha servicios y procesos de Windows para cargar su payload mediante inyección, reduciendo su huella visible.

Hash real de referencia (SHA-256):
Muestra pública asociada a AsyncRAT:
Code:
06417db53e9b090c7a07192dbb6203ce15c832c0928d73ebbc9c8ebff05320ff

Mitigación con GetOverX Shield v3.0.2.0:
  • Antivirus:
    Realizar escaneo profundo de todas las unidades, incluyendo %APPDATA% y %TEMP%, para detectar el ejecutable principal de AsyncRAT, sus loaders y cualquier payload adicional alojado en el equipo.

  • Firewall:
    - Bloquear comunicaciones salientes hacia dominios/IPs usados como paneles C2 de RATs.
    - Limitar el uso de puertos inusuales para conexiones salientes desde estaciones de trabajo.
    - Aislar el host si se detectan conexiones persistentes hacia dominios desconocidos justo tras el arranque.

  • HIPS/EDR:
    Reglas recomendadas:
    - Detectar inyección de código en procesos legítimos (por ejemplo, aspnet_compiler.exe u otros binarios de Microsoft).
    - Monitorizar creación de procesos hijos anómalos lanzados por servicios de Windows.
    - Detección de keylogging y captura de pantalla frecuente.
    Al dispararse, GetOverX Shield debe matar el proceso, bloquear el hash y registrar el árbol de procesos implicado.

  • Sandbox:
    Enviar a la Sandbox:
    - Adjuntos ZIP/EXE/LNK sospechosos recibidos en campañas de phishing.
    - “Actualizadores” o instaladores no verificados.
    Revisar si intentan conectarse a C2 o desplegar AsyncRAT.

  • Medidas posteriores al incidente:
    - Cambiar credenciales de usuarios que iniciaron sesión mientras AsyncRAT estaba activo.
    - Revisar logs de administración remota para detectar acciones realizadas por el atacante.
    - Verificar que no se hayan desplegado herramientas adicionales (por ejemplo, beacons o ransomware) desde el RAT.