O AsyncRAT recorre a Cloudflare para ocultar suas comunicações de comando e controle, explorando domínios da subcategoria TryCloudflare e serviços WebDAV para disfarçar tráfego malicioso.
A campanha costuma iniciar com e-mails de phishing contendo links para downloads hospedados no Dropbox. O golpe utiliza extensões de arquivo duplas, como .pdf.url, para induzir o usuário a abrir um arquivo aparentemente inofensivo, liberando o malware.
Ao ser instalado, o atacante cria um ambiente Python na máquina vítima para servir de base a injecções de código, recorrendo a componentes nativos do Windows como PowerShell e Windows Script Host para dificultar a detecção. O AsyncRAT mantém acesso contínuo por meio de técnicas de persistência em várias etapas, incluindo scripts de inicialização (ex.: ahke.bat e olsm.bat) colocados na pasta de inicialização.
Especialistas alertam que o uso de infraestruturas legítimas por cibercriminosos complica a defesa, com a tática living-off-the-land dificultando a identificação. A Cloudflare, quando explorada por ameaças, exige monitoramento mais rigoroso de tráfego WebDAV e uma análise cuidadosa de domínios TryCloudflare para reduzir os impactos.
Para prevenir, as organizações devem investir em detecção baseada em IA, fortalecer a análise de anexos de email, treinando equipes para reconhecer golpes e implementar políticas de controle de scripts. A indústria de cibersegurança recomenda vigilância proativa, com foco em padrões de comportamento anômalos e em controle de execução de scripts em endpoints. Siga o Itshow para ficar por dentro das novidades.
