12-05-2025, 04:27 PM
Nombre: AsyncRAT
Categoría: RAT (Remote Access Trojan) de código abierto / Control remoto + robo de información
Fecha de descubrimiento: Observado en campañas al menos desde 2019
Comportamiento (lo que hace y archivos que infecta):
AsyncRAT (Asynchronous Remote Access Trojan) es un RAT avanzado escrito en .NET, usado para:
- Control remoto completo del sistema (ejecución de comandos, manejo de archivos).
- Keylogging y captura de pantalla.
- Robo de credenciales desde navegadores y aplicaciones.
- Descarga y ejecución de payloads adicionales (incluyendo infostealers y ransomware).
Distribución típica:
- Phishing con adjuntos maliciosos (ZIP, documentos, accesos directos LNK).
- “Loaders” o droppers que abusan de procesos legítimos como aspnet_compiler.exe para inyección de código.
- Campañas que usan cargadores ofuscados con DGAs, decoys y otras técnicas para evadir detección.
A nivel de archivos:
- Crea ejecutables/DLL en carpetas de usuario o %APPDATA%.
- Usa scripts y binarios intermedios para inyección en procesos legítimos.
- Lee ficheros de configuración y bases de datos de aplicaciones para extraer credenciales.
Persistencia:
AsyncRAT suele:
- Copiarse en rutas como %APPDATA% o %LOCALAPPDATA% con nombres que imitan software legítimo.
- Crear claves de Registro de autoejecución.
- Registrar tareas programadas para garantizar su ejecución tras reinicio.
En algunos casos aprovecha servicios y procesos de Windows para cargar su payload mediante inyección, reduciendo su huella visible.
Hash real de referencia (SHA-256):
Muestra pública asociada a AsyncRAT:
Mitigación con GetOverX Shield v3.0.2.0:
Categoría: RAT (Remote Access Trojan) de código abierto / Control remoto + robo de información
Fecha de descubrimiento: Observado en campañas al menos desde 2019
Comportamiento (lo que hace y archivos que infecta):
AsyncRAT (Asynchronous Remote Access Trojan) es un RAT avanzado escrito en .NET, usado para:
- Control remoto completo del sistema (ejecución de comandos, manejo de archivos).
- Keylogging y captura de pantalla.
- Robo de credenciales desde navegadores y aplicaciones.
- Descarga y ejecución de payloads adicionales (incluyendo infostealers y ransomware).
Distribución típica:
- Phishing con adjuntos maliciosos (ZIP, documentos, accesos directos LNK).
- “Loaders” o droppers que abusan de procesos legítimos como aspnet_compiler.exe para inyección de código.
- Campañas que usan cargadores ofuscados con DGAs, decoys y otras técnicas para evadir detección.
A nivel de archivos:
- Crea ejecutables/DLL en carpetas de usuario o %APPDATA%.
- Usa scripts y binarios intermedios para inyección en procesos legítimos.
- Lee ficheros de configuración y bases de datos de aplicaciones para extraer credenciales.
Persistencia:
AsyncRAT suele:
- Copiarse en rutas como %APPDATA% o %LOCALAPPDATA% con nombres que imitan software legítimo.
- Crear claves de Registro de autoejecución.
- Registrar tareas programadas para garantizar su ejecución tras reinicio.
En algunos casos aprovecha servicios y procesos de Windows para cargar su payload mediante inyección, reduciendo su huella visible.
Hash real de referencia (SHA-256):
Muestra pública asociada a AsyncRAT:
Code:
06417db53e9b090c7a07192dbb6203ce15c832c0928d73ebbc9c8ebff05320ffMitigación con GetOverX Shield v3.0.2.0:
- Antivirus:
Realizar escaneo profundo de todas las unidades, incluyendo %APPDATA% y %TEMP%, para detectar el ejecutable principal de AsyncRAT, sus loaders y cualquier payload adicional alojado en el equipo.
- Firewall:
- Bloquear comunicaciones salientes hacia dominios/IPs usados como paneles C2 de RATs.
- Limitar el uso de puertos inusuales para conexiones salientes desde estaciones de trabajo.
- Aislar el host si se detectan conexiones persistentes hacia dominios desconocidos justo tras el arranque.
- HIPS/EDR:
Reglas recomendadas:
- Detectar inyección de código en procesos legítimos (por ejemplo, aspnet_compiler.exe u otros binarios de Microsoft).
- Monitorizar creación de procesos hijos anómalos lanzados por servicios de Windows.
- Detección de keylogging y captura de pantalla frecuente.
Al dispararse, GetOverX Shield debe matar el proceso, bloquear el hash y registrar el árbol de procesos implicado.
- Sandbox:
Enviar a la Sandbox:
- Adjuntos ZIP/EXE/LNK sospechosos recibidos en campañas de phishing.
- “Actualizadores” o instaladores no verificados.
Revisar si intentan conectarse a C2 o desplegar AsyncRAT.
- Medidas posteriores al incidente:
- Cambiar credenciales de usuarios que iniciaron sesión mientras AsyncRAT estaba activo.
- Revisar logs de administración remota para detectar acciones realizadas por el atacante.
- Verificar que no se hayan desplegado herramientas adicionales (por ejemplo, beacons o ransomware) desde el RAT.