AI-ловушки с AsyncRAT: новая многоэтапная атака

Лаборатория FortiGuard Labs зафиксировала новую кампанию, в которой злоумышленники используют актуальный интерес к искусственному интеллекту как приманку для распространения вредоносного ПО. Под видом легитимных материалов, связанных с AI, они маскируют многоэтапную цепочку заражения, итогом которой становится доставка AsyncRAT — .NET-трояна удаленного доступа.

AI-тематика как приманка для жертв

По данным исследования, атакующие распространяют файлы с названиями, отсылающими к учебным ресурсам по AI. Такой подход рассчитан на пользователей, которые ищут образовательный или справочный контент и с меньшей настороженностью открывают архивы и документы, выглядящие безобидно.

Начальная стадия атаки строится вокруг ZIP-архива, внутри которого скрываются ярлык и дополнительные файлы. На первый взгляд такой пакет не вызывает подозрений, однако именно он запускает последовательность вредоносных действий.

Многоэтапная цепочка заражения

После открытия архива активируется PowerShell-скрипт, использующий криптографические методы для декодирования полезной нагрузки, спрятанной в исходных документах. Далее скрипт создает другие компоненты и обеспечивает закрепление в системе через Windows Task Scheduler, при этом маскируя активность под службу аудио Realtek.

Особенность кампании — заметная степень обфускации. Скрипты используют:

• переменные на упрощенном китайском языке;
• нестандартные идентификаторы;
• культурные отсылки, затрудняющие анализ и обнаружение.

AutoHotkey, injection и reflective loading

Отдельного внимания заслуживает использование AutoHotkey-скриптов. В этой кампании они выступают как движок выполнения вредоносного кода, позволяя загружать и запускать дополнительные компоненты без опоры только на compiled binary.

На финальных этапах атаки применяются более продвинутые техники, включая Process Hollowing и reflective loading. Такой подход позволяет выполнять .NET-загрузчики скрытно и одновременно снижать вероятность обнаружения при forensic analysis за счет очистки следов выполнения.

Что делает AsyncRAT

Основной полезный груз, идентифицированный исследователями как modular RAT, устанавливает связь с C2-серверами и собирает подробную информацию о системе и окружении жертвы. ВПО также использует продвинутые механизмы коммуникации, включая шифрование исходящих данных и custom serialization, чтобы поддерживать постоянный обмен с инфраструктурой управления.

Ключевая особенность кампании — сочетание социальной инженерии, многоступенчатой технической цепочки и тщательной обфускации, рассчитанной на то, чтобы усложнить анализ и скрыть реальную природу вредоносного кода.

Таким образом, новая схема демонстрирует, как злоумышленники быстро адаптируют свои методы к популярным технологическим трендам. Использование AI-тематики, архивов, скриптовых сред и сложных техник скрытного выполнения делает такие атаки особенно опасными и затрудняет их обнаружение на раннем этапе.