Un’analisi di ESET ha ricostruito l’evoluzione di AsyncRAT, remote access tool sviluppato per monitorare e controllare dispositivi da remoto, mettendone in luce anche le relazioni tra le diverse varianti. Nel corso degli anni, AsyncRAT si è affermato come uno degli strumenti fondamentali del malware moderno. Evolvendosi in una minaccia diffusa e dando anche origine a una rete ramificata di varianti e fork, ovvero versioni personalizzate e migliorate dell’originale.
Ai cybercriminali piace AsyncRAT
AsyncRAT, RAT open source, è stato rilasciato su GitHub nel 2019 da un utente noto con il nickname NYAN CAT. Integra un’ampia gamma di funzionalità tipiche dei RAT, come keylogging, cattura dello schermo, furto di credenziali e altro ancora. Semplicità e l’essere open source lo hanno reso uno strumento molto apprezzato nei contesti cybercriminali, con un utilizzo esteso in numerosi attacchi.
Un malware con alto tasso di personalizzazione
Nikola Knežević, ricercatore di ESET e autore della ricerca AsyncRAT ha introdotto miglioramenti significativi. In particolare nell’architettura modulare e nelle funzionalità avanzate di evasione, che lo rendono più adattabile e difficile da rilevare nei moderni ambienti di threat intelligence. La struttura basata su plug-in e la facilità di modifica hanno favorito la proliferazione di numerosi fork, ampliando significativamente le possibilità di personalizzazione del malware.
Le caratteristiche di due varianti
Fin dal suo rilascio, AsyncRAT ha generato una moltitudine di fork che ne hanno ampliato le funzionalità. Alcune versioni si sono evolute, aggiungendo nuove caratteristiche e perfezionamenti. Altre, invece, si presentano con modifiche minime rispetto all’originale. Secondo i dati di telemetria raccolti da ESET, le varianti più utilizzate negli attacchi sono DcRat, VenomRAT e SilverRAT. DcRat rappresenta un’evoluzione rispetto ad AsyncRAT per funzionalità e capacità operative, mentre VenomRAT introduce ulteriori strumenti avanzati.
Non tutte le versioni di AsyncRAT hanno intenti ‘seri’
Esistono anche fork creati con intento goliardico, come SantaRAT o BoratRAT. Pur nascendo come versioni provocatorie, ESET ha rilevato casi in cui sono stati utilizzati in attacchi reali. L’analisi di ESET Research prende in esame anche alcuni fork meno noti che, pur rappresentando meno dell’1% dei campioni rilevati, introducono funzionalità avanzate rispetto alla versione base. Si tratta spesso di sviluppi isolati, creati da singoli utenti o piccoli gruppi.
Attacchi sofisticati con uno sforzo minimo
Nikola Knežević, ricercatore di ESET e autore della ricerca La disponibilità di framework come AsyncRAT abbassa drasticamente la soglia d’accesso per chi si affaccia al cybercrimine. Permettendo così anche a soggetti poco esperti di lanciare attacchi sofisticati con uno sforzo minimo. Questo fenomeno contribuisce all’accelerazione nello sviluppo e nella personalizzazione di tool malevoli. Per contrastare questa evoluzione è fondamentale adottare strategie di detection proattiva e approfondite analisi comportamentali.
