Jena - Der gefürchtete Remote Access-Trojaner AsyncRAT erfreut sich bereits seit 2019 großer Beliebtheit bei Hackern. Wie Forscher des europäischen IT-Sicherheitsherstellers ESET nun herausgefunden haben, hat das Fernsteuerungs-Werkzeug neue Untervarianten (Forks) erhalten, die unterschiedliche Zwecke haben. Die Analyse der Sicherheitsspezialisten ergab: Bei den neuen Versionen handelt es nicht nur um gefährlichere Weiterentwicklungen des Ursprungs-RAT, auch die Zugänglichkeit des Trojaners wurde für weniger erfahrene Hacker verbessert. Darüber hinaus wurde der Funktionsumfang erweitert.
"AsyncRAT hat bedeutende Verbesserungen mit sich gebracht, insbesondere hinsichtlich seiner modularen Architektur und seiner verbesserten Stealth-Funktionen. Hierdurch ist der RAT in modernen Bedrohungsumgebungen schwerer zu erkennen. Seine Plug-in-basierte Architektur und einfache Modifizierbarkeit haben zur Verbreitung zahlreicher Forks geführt", so ESET-Forscher Nikola Kneževi?, der hinter den aktuellen Erkenntnissen, der die Untersuchung geleitet hat.AsyncRAT wurde 2019 vom Entwickler "NYAN CAT" auf GitHub veröffentlicht und erlaubt es Angreifern, infizierte Computer aus der Ferne zu steuern. Neben seinem Funktionsumfang macht seine Anpassbarkeit ihn äußerst beliebt bei Hackern.Das sind die gefährlichsten Ableger von AsyncRATLaut den Forschern gehören DcRat und VenomRAT zu den am weitesten verbreiteten Forks. DcRat nutzt fortgeschrittene Techniken zur Umgehung von Sicherheitssystemen wie Microsofts AMSI oder ETW-Logging. Es bietet zusätzlich Plugins für Audio- und Videoüberwachung, Ransomware-Funktionen sowie ein "Spaß-Modul", das etwa die Maus bewegt oder den Monitor ausschaltet.VenomRAT baut auf DcRat auf und verfügt über eine noch größere Bandbreite an Funktionen. Obwohl technisch eigenständig, wird es wegen struktureller Ähnlichkeiten in der Konfiguration als Teil des AsyncRAT-Ökosystems eingeordnet.(Not) Very nice: BoratRAT und SantaRATNeben den neuen, gefährlichen Varianten von AsyncRAT fanden die Sicherheitsexperten auch Trojaner, die einen scheinbar witzigen Hintergrund haben: SantaRAT soll laut Aussage des Entwicklers ( https://github.com/Grinchiest/SantaRat?tab=readme-ov-file # santarat) dazu dienen, den Laptop des Weihnachtsmannes zu infiltrieren. BoratRAT wirbt offen mit der gleichnamigen bekannten Filmfigur. Trotz der humoristischen Aufmachung handelt es sich bei beiden um funktionale Trojaner, die auf Zielgeräten eingesetzt wurden und realen Schaden anrichten können.Weitere Forks erschrecken Opfer und zitieren satanische SymbolikUnter den weniger bekannten Forks sticht NonEuclidRAT hervor: Es enthält Plugins zum Brute-Forcing von Zugängen für den Datentransfer, zur Verbreitung über USB-Geräte (WormUsb.dll) und zur Manipulation von Zwischenablagen, etwa durch das Ersetzen von Krypto-Wallet-Adressen. Auch fies: Mit einem "Jump Scare"-Plugin können Hacker gruselige Bilder und eine Audiodatei abspielen, um ihre Opfer zu erschrecken.Ein weiteres Beispiel ist JasonRAT, das mit "satanisch" benannten Variablen arbeitet und verschleierte Konfigurationsdaten im Morse-Code-Format nutzt – ein kurioses, aber ernstzunehmendes Beispiel für kreative Tarnmechanismen.Was sind RATs?Remote Access-Trojaner (RATs) sind Schadprogramme, die es Angreifern ermöglichen, einen infizierten Computer unbemerkt aus der Ferne zu steuern und umfassenden Zugriff auf das System zu erhalten. Oft gelangen diese Trojaner über gefälschte Websites oder schadhafte E-Mails-Anhänge an ihre Opfer.Nach der Installation tarnt sich die Schadsoftware und baut eine Verbindung zu ihren Drahtziehern auf, um Anweisungen zu erhalten und Daten abzuleiten. Steht diese Verbindung erst einmal, kann der Angreifer auf verschiedene Art und Weise Schaden anrichten. Er kann z. B. Dateien auf dem infizierten Gerät stehlen oder löschen, Tastaturanschläge aufzeichnen, Webcam- und Mikrofon-Aufnahmen mitverfolgen und Passwörter abgreifen."Die weit verbreitete Verfügbarkeit von Frameworks wie AsyncRAT senkt die Einstiegshürde für angehende Cyberkriminelle erheblich und ermöglicht es selbst Neulingen, mit minimalem Aufwand hochentwickelte Malware einzusetzen. Diese Entwicklung beschleunigt die Erstellung und Anpassung bösartiger Tools weiter. Diese Entwicklung unterstreicht die Bedeutung proaktiver Erkennungsstrategien und tiefergehender Verhaltensanalysen, um neu auftretenden Bedrohungen wirksam zu begegnen", fasst Kneževi? zusammen.Weitere Informationen zu AsyncRAT und seinen Forks gibt es im neuen Blogpost ( https://www.welivesecurity.com/de/eset-research/asyncrat-und-seine-vielen-gesichter )auf Welivesecurity.com.(Ende)Aussender: ESET Deutschland GmbH Ansprechpartner: Philipp Plum Tel.: +49 3641 3114 141 E-Mail: philipp.plum@eset.com Website: www.eset.de