Открытый код AsyncRAT, выпущенный NYAN CAT на GitHub в январе 2019 года, породил глобальную эпидемию. Написанный на C троянец крадёт пароли, делает скриншоты, записывает нажатия клавиш и отдаёт злоумышленникам полный контроль над системами. Его модульная архитектура и плагины упрощают адаптацию для новых атак.
Исследователь ESET Никола Кнежевич называет AsyncRAT «краеугольным камнем современного вредоносного ПО». Открытый исходный код превратил его в «разрастающуюся сеть форков», снижая порог входа для киберпреступников. Распространяют троянец через фишинг, взломанное ПО, вредоносную рекламу и фейковые обновления. Для доставки используют загрузчики GuLoader или SmokeLoader, атакуя как корпорации, так и частных пользователей.
Основу AsyncRAT заложил Quasar RAT (известный также как CinaRAT или Yggdrasil), доступный на GitHub с 2015 года. Хотя оба написаны на C и используют схожие криптографические методы, AsyncRAT — не просто форк, а «полная переработка» предшественника.
Опасные мутации:
Доступность исходников AsyncRAT спровоцировала бум MaaS (Malware-as-a-Service). На Telegram и даркнет-форумах продают конструкторы троянов и плагины. Это «демократизировало» киберпреступность: даже новички используют ИИ (LLM) для сборки сложных атак. Слияние открытого вредоносного ПО, пентест-инструментов и легальных RAT-платформ усложняет атрибуцию и защиту.
Эксперты советуют фокусироваться на поведенческом анализе и мониторинге командных серверов (C2). Ключевые риски включают файлесс-атаки, кражу данных и подмену буфера обмена.
Изображение носит иллюстративный характер
Исследователь ESET Никола Кнежевич называет AsyncRAT «краеугольным камнем современного вредоносного ПО». Открытый исходный код превратил его в «разрастающуюся сеть форков», снижая порог входа для киберпреступников. Распространяют троянец через фишинг, взломанное ПО, вредоносную рекламу и фейковые обновления. Для доставки используют загрузчики GuLoader или SmokeLoader, атакуя как корпорации, так и частных пользователей.
Основу AsyncRAT заложил Quasar RAT (известный также как CinaRAT или Yggdrasil), доступный на GitHub с 2015 года. Хотя оба написаны на C и используют схожие криптографические методы, AsyncRAT — не просто форк, а «полная переработка» предшественника.
Опасные мутации:
- DCRat (DarkCrystal RAT) развил скрытность: обходит защиту через AMSI и ETW-патчинг, убивает процессы из чёрного списка, ворует токены Discord, данные веб-камер и микрофонов. Добавлен модуль шифрования файлов.
- Venom RAT, вдохновлённый DCRat, ещё изощрённее. Аналитик Rapid7 Анна Широкова (ноябрь 2024) классифицирует его как «более сложную угрозу» из семейства Quasar.
- NonEuclid RAT брутфорсит SSH/FTP, крадёт геолокацию, подменяет буфер обмена на адреса криптокошельков («клиппер»), заражает исполняемые файлы (PE).
- JasonRAT фильтрует жертв по странам.
- XieBroRAT адаптирован под Китай: крадёт пароли браузеров и подключается к серверам Cobalt Strike.
Доступность исходников AsyncRAT спровоцировала бум MaaS (Malware-as-a-Service). На Telegram и даркнет-форумах продают конструкторы троянов и плагины. Это «демократизировало» киберпреступность: даже новички используют ИИ (LLM) для сборки сложных атак. Слияние открытого вредоносного ПО, пентест-инструментов и легальных RAT-платформ усложняет атрибуцию и защиту.
Эксперты советуют фокусироваться на поведенческом анализе и мониторинге командных серверов (C2). Ключевые риски включают файлесс-атаки, кражу данных и подмену буфера обмена.
