# AsyncRAT > [!warning] Commodity RAT - Alta Prevalencia no Brasil > AsyncRAT e uma das RATs de commodity mais distribuidas globalmente e específicamente no Brasil. Sua disponibilidade gratuita como código aberto facilita a adocao por grupos com baixo nivel tecnico. Campanhas massivas via phishing de nota fiscal eletronica (NF-e) e boletos bancarios distribuem AsyncRAT consistentemente no contexto brasileiro, figurando entre os top 10 malwares detectados em telemetria de endpoints brasileiros. ## Visão Geral [[s1087-asyncrat|AsyncRAT]] e uma ferramenta de acesso remoto (Remote Access Tool) de código aberto desenvolvida em **C#/.NET** por NYANxCAT, originalmente públicada no GitHub como projeto educacional demonstrando programacao de sockets assincronos em .NET. A disponibilidade pública do código-fonte permitiu adocao rapida e massiva por atores maliciosos em todo o mundo, tornando-se um **commodity malware de baixo custo** amplamente distribuido em fóruns underground e kits de ataque. Como ferramenta maliciosa, o AsyncRAT oferece capacidades completas de acesso remoto: keylogging, captura de tela e camara, download e execução de payloads adicionais, persistência via Task Scheduler, evasão de análise com verificacoes anti-VM e anti-debugger, e comunicação C2 assicrona sobre TCP com suporte a Dynamic DNS. A ferramenta recebeu múltiplos forks, sendo o mais notavel o **VenomRAT**, que adiciona acesso a webcam e outras capacidades. Em 2025, o grupo [[ta558|TA558]] (focado em hoteis sul-americanos) e Initial Access Brokers (IABs) brasileiros adotaram AsyncRAT em campanhas contra executivos brasileiros via spam de NF-e, usando Cloudflare Tunnels como infraestrutura C2 para evitar detecção. | Campo | Detalhe | |-------|---------| | **Tipo** | Remote Access Trojan (RAT) | | **Linguagem** | C# (.NET Framework v4.0.30319) | | **Primeira versao pública** | 2019 | | **Status** | Ativo - múltiplas campanhas 2024-2025 | | **MITRE ID** | S1087 | | **Plataformas** | Windows | | **Uso principal por** | TA2541, TA558, IABs brasileiros | ## Como Funciona **Arquitetura C#/.NET:** O AsyncRAT depende de bibliotecas padrao .NET (`System.IO`, `System.Security.Cryptography`, `System.Net`) e usa sockets TCP assincronos para comunicação C2. A configuração (enderecos C2, porta, chave de cifra, HWID mutex) e armazenada cifrada com AES-256 usando salt binario de 32 bytes. **Estagio 1 - Entrega:** Phishing com temas de aviacao (TA2541), NF-e/boletos (campanhas brasileiras), ou notas fiscais de hoteis (TA558). O e-mail contem link para Dropbox/Google Drive com loader obfuscado (DLL, .bat com junk code, JavaScript/PowerShell). **Estagio 2 - Loader multi-estagio:** O loader inicial executa rotinas de evasão antes de carregar o AsyncRAT core: - Patch de AMSI (Anti-Malware Scan Interface) para evitar detecção por Windows Defender. - Patch de ETW (Event Tracing for Windows) para reduzir telemetria do sistema. - Resolução dinâmica de API (`GetProcAddress`/`GetModuleHandle`) sem imports estaticos. - Verificação de VM e debugger antes de prosseguir. **Estagio 3 - Implant AsyncRAT:** O payload core decifra configuração, válida mutex para instancia única, e conecta ao C2 via TCP. Estabelece persistência via Scheduled Task (ex: "Skype Updater") em `%APPDATA%`. Executa em jánela oculta (T1564.003). **C2 sobre TCP/AES-256:** Comúnicação assicrona com pacotes estruturados incluindo ping de keep-alive, relatorio de configuração e dispatch de comandos. Suporta Dynamic DNS (`duckdns.org`, `no-ip.com`, `hopto.org`) para infraestrutura C2 resiliente e de baixo custo. ## Attack Flow ```mermaid graph TB A["📧 Phishing NF-e / Aviacao<br/>Link para Dropbox/GDrive<br/>Loader obfuscado"] --> B["🔍 Anti-análise<br/>AMSI/ETW patch<br/>VM/debugger check T1497.001"] B --> C["⚙️ AsyncRAT Implant<br/>Scheduled Task T1053.005<br/>Jánela oculta T1564.003"] C --> D["🎯 Reconhecimento<br/>System info / processos<br/>T1033 + T1057"] D --> E["📸 Coleta de dados<br/>Keylog T1056.001<br/>Screen + Video T1113/T1125"] E --> F["📡 C2 TCP/AES-256<br/>Dynamic DNS T1568<br/>Beaconing assicrono"] F --> G["💣 Payload adicional<br/>Download via T1105<br/>Escalada para RAT avancado"] classDef delivery fill:#e74c3c,stroke:#c0392b,color:#fff classDef evasion fill:#f39c12,stroke:#d68910,color:#fff classDef install fill:#3498db,stroke:#1a5276,color:#fff classDef recon fill:#27ae60,stroke:#1e8449,color:#fff classDef c2 fill:#8e44ad,stroke:#7d3c98,color:#fff classDef impact fill:#c0392b,stroke:#922b21,color:#fff class A delivery class B evasion class C install class D,E recon class F c2 class G impact ``` ## Timeline de Evolução ```mermaid timeline title AsyncRAT - Evolução e Campanhas 2019 : Lancamento no GitHub por NYANxCAT : Descrito como projeto educacional C# 2020 : Primeiros usos maliciosos documentados : Distribuição em fóruns underground 2021 : TA2541 adota AsyncRAT em campanhas de aviacao : Proofpoint documenta uso extensivo 2022 : Expansao global - top RAT em telemetria : Primeiras campanhas via NF-e no Brasil 2023 : VenomRAT (fork com webcam) lançado : Campanha TA558 contra hoteis sul-americanos 2024 : AMSI/ETW patching em loaders de primeiro estagio : Cloudflare Tunnels como infraestrutura C2 2025 : IABs brasileiros usam AsyncRAT + RMM trials : Executivos C-level alvos via spam NF-e ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|---------------| | Acesso Inicial | [[t1566-001-spearphishing-attachment\|T1566.001]] | Phishing com lure de NF-e, aviacao ou fatura de hotel | | Execução | [[t1059-001-powershell\|T1059.001]] | Loader PowerShell de primeiro estagio com AMSI patch | | Execução | [[t1059-005-visual-basic\|T1059.005]] | VBScript como downloader em algumas cadeias | | Persistência | [[t1053-005-scheduled-task\|T1053.005]] | Scheduled Task "Skype Updater" ou similar em %APPDATA% | | Evasão | [[t1497-001-system-checks\|T1497.001]] | Detecção de VM, sandbox e debugger antes da ativacao | | Evasão | [[t1622-debugger-evasion\|T1622]] | Anti-debug ativo durante execução do implant | | Evasão | [[t1564-003-hidden-window\|T1564.003]] | Implant executa sem jánela visivel | | Descoberta | [[t1033-system-owneruser-discovery\|T1033]] | Coleta de info de usuario/sistema para o C2 | | Descoberta | [[t1057-process-discovery\|T1057]] | Enumeracao de processos ativos | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogging em tempo real | | Coleta | [[t1113-screen-capture\|T1113]] | Capturas de tela automaticas | | Coleta | [[t1125-video-capture\|T1125]] | Captura de video/webcam (em variantes) | | C2 | [[t1568-dynamic-resolution\|T1568]] | Dynamic DNS para C2 resiliente e barato | | C2 | [[t1106-native-api\|T1106]] | Chamadas nativas de API para sockets TCP | | Coleta/Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download de payloads adicionais do C2 | ## Relevância LATAM/Brasil O AsyncRAT e uma das RATs **mais distribuidas específicamente no Brasil** por grupos de baixo e medio nivel tecnico. Sua gratuidade e código-fonte aberto eliminam a barreira técnica de criação de ferramentas proprias. O contexto específico brasileiro: - **Campanha NF-e (2024-2025):** IABs brasileiros enviaram spam em massa para executivos de nivel C (CEO, CFO, diretores de RH) em setores público e privado, com e-mails imitando operadoras de telefonia e bancos. Os links levavam a Dropbox/GDrive com loaders que instalavam AsyncRAT + ferramentas RMM em trial (N-able, PDQ) para acesso persistente. - **TA558 e hoteis sul-americanos (2023-2024):** O grupo TA558 - especializado em hospitalidade - direcionou campanhas a hoteis no Brasil, Argentina e Chile com AsyncRAT como payload principal para roubo de dados de clientes e credenciais de sistemas hoteleiros. - **[[g1018-ta2541|TA2541]] e aviacao:** O TA2541 documenta campanhas contra companhias aereas incluindo LATAM Airlines e GOL, usando AsyncRAT para acesso inicial a redes de aviacao. - **Prevalencia em telemetria:** AsyncRAT figurou consistentemente nos top 10 malwares detectados em endpoints brasileiros por Kaspersky e Avast em 2024-2025. ## Detecção e Defesa **Event IDs prioritarios:** - **Windows Event ID 4698 (Task Registered):** Criação de Scheduled Task com acao em `%APPDATA%` ou `%TEMP%` - padrao de persistência AsyncRAT. - **Sysmon Event ID 1 (ProcessCreaté):** Compilacao JIT .NET com argumentos suspeitos; `schtasks.exe /create` com caminho em diretorio de usuario. - **Sysmon Event ID 3 (NetworkConnect):** Conexoes TCP de `RegAsm.exe`, binarios renomeados em diretorios de usuario, ou `powershell.exe` para dominios Dynamic DNS - beaconing AsyncRAT. - **Sysmon Event ID 22 (DNSQuery):** Consultas para `no-ip.com`, `duckdns.org`, `hopto.org` por processos de usuario - C2 padrao AsyncRAT. **Regras de detecção:** - Sigma: `proc_creation_win_asyncrat_indicators.yml` - assinaturas de command-line e path de execução. - YARA: `win_asyncrat` - strings internas do binario compilado (ANY.RUN threat intelligence). - Sigma: `schtasks_creation_appdata_path.yml` - criação de task com executavel em AppData. - Comportamental: AMSI/ETW patch em memoria por processo PowerShell novo - anomalia detectavel em EDR. **Mitigacoes:** - Bloquear downloaders de Dropbox/GDrive por processos de e-mail em gateways web. - Filtrar spam de NF-e com análise de URL em sandbox antes de entrega ao usuario. - Monitorar criação de Scheduled Tasks com caminho em diretorios de usuario via GPO. - Habilitar **Constrained Language Mode** do PowerShell para reduzir capacidade de loaders. ## Referências - [1](https://attack.mitre.org/software/S1087) MITRE ATT&CK S1087 - [2](https://www.proofpoint.com/us/blog/threat-insight/charting-ta2541s-flight) Proofpoint - TA2541 e AsyncRAT (2022) - [3](https://www.rapid7.com/blog/post/2024/11/21/a-bag-of-rats-venomrat-vs-asyncrat/) Rapid7 - VenomRAT vs AsyncRAT (2024) - [4](https://thehackernews.com/2025/05/initial-access-brokers-target-brazil.html) The Hacker News - IABs targeting Brazil (2025) - [5](https://www.halcyon.ai/blog/asyncrat-campaign-continues-to-evade-endpoint-detection) Halcyon - AsyncRAT EDR Evasion 2024 - [6](https://www.levelblue.com/blogs/levelblue-blog/asyncrat-in-action-fileless-malware-techniques-and-analysis-of-a-remote-access-trojan) LevelBlue - AsyncRAT fileless analysis - [7](https://www.welivesecurity.com/en/eset-research/unmasking-asyncrat-navigating-labyrinth-forks/) ESET - AsyncRAT forks taxonomy