Sự trỗi dậy của AsyncRAT và những nhánh mã độc mang tính tùy biến cao

[WhiteHat Team]

AsyncRAT, từng là một công cụ điều khiển từ xa mã nguồn mở đơn giản, nay đã biến thành một hệ sinh thái mã độc đầy phức tạp. Nó liên tục sinh sôi các biến thể mới với khả năng cấy ghép linh hoạt, kỹ thuật che giấu tinh vi và chiến thuật né tránh ngày càng khó đối phó. Từ một dự án trên GitHub, AsyncRAT đã trở thành nền tảng phổ biến trong giới tội phạm mạng, mang theo cả sự sáng tạo lẫn nguy hiểm trong từng dòng mã.

Từ mã nguồn mở đến công cụ tấn công toàn năng​

AsyncRAT ra mắt trên GitHub từ năm 2019, viết bằng C# và hỗ trợ các chức năng như keylogger, chụp màn hình, đánh cắp thông tin xác thực. Dù có nhiều điểm tương đồng với Quasar RAT về mặt khái niệm, AsyncRAT được viết lại hoàn toàn từ đầu. Một điểm đáng chú ý là đoạn mã mã hóa AES-256 và SHA-256 trong AsyncRAT được sao chép từ Quasar, cho thấy các dự án mã độc thường chia sẻ và tái sử dụng logic mã hóa lẫn nhau.

Thiết kế mô-đun và khả năng mở rộng cao giúp AsyncRAT nhanh chóng được tội phạm mạng khai thác, tạo đà cho hàng loạt fork mới ra đời.

Những biến thể đáng gờm: DcRat và VenomRAT​

Trong số nhiều dẫn xuất từ AsyncRAT, hai biến thể nổi bật là DcRat và VenomRAT.

DcRat sử dụng thư viện MessagePack để cải thiện hiệu năng xử lý dữ liệu, đồng thời tích hợp các kỹ thuật né tránh phòng vệ mạnh mẽ:

• Vô hiệu hóa AMSI và ETW để vượt qua cơ chế giám sát của Windows
• Tự động kết liễu các tiến trình bảo mật như Taskmgr.exe, ProcessHacker.exe, MsMpEng.exe
• Hệ thống plugin đa dạng: từ chiếm quyền webcam, đánh cắp token Discord đến mã độc tống tiền dùng AES-256

VenomRAT có kiến trúc tương tự DcRat nhưng được “bơm” thêm tính năng với tốc độ chóng mặt, trở thành một mối đe dọa riêng biệt. Bên cạnh đó, những fork tưởng chừng “cho vui” như SantaRAT hay BoratRAT vẫn xuất hiện trong chiến dịch thực tế, khiến việc phân loại trở nên phức tạp hơn.

Plugin dị biệt và kỹ thuật che giấu sáng tạo​

Việc xác định biến thể RAT thường dựa vào phân tích trường Version trong tập tin cấu hình (thường được mã hóa AES-256), thông số Salt, hoặc chứng chỉ X.509 nhúng trong mã nguồn. Một số kỹ thuật tiên tiến hơn sử dụng phân tích cấu trúc mã, thăm dò C&C hoặc giám sát hành vi thực thi.

Nhiều plugin mới xuất hiện với chức năng lạ lùng:

• Screamer.dll: gây hoảng loạn bằng hình ảnh và âm thanh
• WormUsb.dll: lây lan qua USB bằng cách lây nhiễm file thực thi
• Brute.dll: brute-force thông tin SSH/FTP
• cliper.dll: đánh cắp ví tiền mã hóa bằng cách thay thế địa chỉ trong clipboard
• Signature Antivirus.dll: xóa các tập tin có MD5 trùng với danh sách do kẻ tấn công chỉ định

Một số biến thể “dị biệt” như JasonRAT mã hóa chuỗi bằng mã Morse tùy biến và sử dụng biến với tên gọi kỳ quái theo chủ đề “satan giáo”. Trong khi đó, NonEuclid RAT tích hợp plugin định vị địa lý, còn XieBroRAT có thể đánh cắp thông tin trình duyệt và hỗ trợ Cobalt Strike.

Sự tiến hóa nhanh chóng của hệ sinh thái AsyncRAT đang làm mờ ranh giới giữa những công cụ mã độc tinh vi và khả năng tiếp cận của tội phạm mạng phổ thông. Nhờ kiến trúc mô đun và khả năng tùy biến dễ dàng, hàng loạt biến thể mới liên tục ra đời với khả năng che giấu ngày càng khéo léo cùng các plugin mang tính phá hoại cao. Điều này khiến hoạt động phát hiện và phòng thủ trở nên khó khăn hơn bao giờ hết.

Trước một môi trường đe dọa luôn biến đổi, giới chuyên gia an ninh mạng không thể chỉ dựa vào các chỉ dấu tĩnh hay giải pháp phòng thủ truyền thống. Việc theo dõi sát sao hành vi mới, phân tích mã độc chủ động và áp dụng chiến lược giám sát linh hoạt sẽ là điều kiện sống còn để ứng phó hiệu quả với làn sóng RAT thế hệ mới. Và với tốc độ tiến hóa như hiện tại, đây có lẽ chỉ mới là sự khởi đầu.

Theo Cyber Press​