One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8407508 |
| Date de publication | 2023-11-07 21:33:55 (vue: 2023-11-07 22:08:04) |
| Titre | Unmasking AsyncRAT New Infection Chain |
| Texte | #### Description
McAfee Labs a observé une récente campagne asyncrat en cours de distribution via un fichier HTML malveillant.Toute cette stratégie d'infection utilise une gamme de types de fichiers, notamment PowerShell, Windows Script File (WSF), VBScript (VBS), et plus encore, afin de contourner les mesures de détection des antivirus.
Un destinataire reçoit un e-mail de spam contenant un lien Web néfaste.Lorsqu'il est accessible, ce lien déclenche le téléchargement d'un fichier HTML.Dans ce fichier HTML, un fichier ISO est intégré, et ce fichier image ISO abrite un WSF (fichier de script Windows).Le fichier WSF établit par la suite des connexions avec diverses URL et procède à l'exécution de plusieurs fichiers dans des formats tels que PowerShell, VBS (VBScript) et BAT.Ces fichiers exécutés sont utilisés pour effectuer une injection de processus dans REGSVCS.EXE, un utilitaire Microsoft .NET légitime.Cette manipulation de Regsvcs.exe permet à l'attaquant de masquer secrètement leurs activités dans une application système de confiance.
#### URL de référence (s)
1. https://www.mcafee.com/blogs/other-logs/mcafee-nabs/unmasking-asyncrat-new-infection-chain/
#### Date de publication
3 novembre 2023
#### Auteurs)
McAfee Labs
Vignesh dhatchanamoorthy
Lakshya Mathur
#### Description McAfee Labs has observed a recent AsyncRAT campaign being distributed through a malicious HTML file. This entire infection strategy employs a range of file types, including PowerShell, Windows Script File (WSF), VBScript (VBS), and more, in order to bypass antivirus detection measures. A recipient receives a spam email containing a nefarious web link. When accessed, this link triggers the download of an HTML file. Within this HTML file, an ISO file is embedded, and this ISO image file harbors a WSF (Windows Script File). The WSF file subsequently establishes connections with various URLs and proceeds to execute multiple files in formats such as PowerShell, VBS (VBScript), and BAT. These executed files are employed to carry out a process injection into RegSvcs.exe, a legitimate Microsoft .NET utility. This manipulation of RegSvcs.exe allows the attacker to covertly hide their activities within a trusted system application. #### Reference URL(s) 1. https://www.mcafee.com/blogs/other-blogs/mcafee-labs/unmasking-asyncrat-new-infection-chain/ #### Publication Date November 3, 2023 #### Author(s) McAfee Labs Vignesh Dhatchanamoorthy Lakshya Mathur |
| Envoyé | Oui |
| Condensat | #### 2023 accessed activities allows antivirus application are asyncrat attacker author bat being blogs/mcafee bypass campaign carry chain chain/ com/blogs/other connections containing covertly date description detection dhatchanamoorthy distributed download email embedded employed employs entire establishes exe execute executed file files formats harbors has hide html https://www image including infection injection iso labs labs/unmasking lakshya legitimate link malicious manipulation mathur mcafee measures microsoft more multiple nefarious net new november observed order out powershell proceeds process publication range receives recent recipient reference regsvcs script spam strategy subsequently such system these through triggers trusted types unmasking url urls utility various vbs vbscript vignesh web when windows within wsf |
| Tags | Spam |
| Stories | |
| Notes | ★★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.