Microsoft с предупреждение за безфайлов троянски кон на име Astaroth

3
1933

Microsoft предупреждава обществеността за безфайлов зловреден софтуер с име Astaroth. Той може да се инсталира на компютъра на жертвата без изпълнение на файл със самия вирус.

За първи път е засечен през 2018 година. През февруари тази година е използван в кампании срещу бразилски и европейски потребители. Изследователският екип на Microsoft Defender го засича през май и юни.

Astaroth разполага с key logger, пресича заявки на операционната система и следи клипборда, за да краде чувствителна информация.

Според Microsoft, хората зад троянския кон използват така наречените „living off the land” техники, за да разпространяват зловредния код. По този начин той е много труден за засичане от антивирусни програми и друг софтуер за сигурност.

Екипът на компанията се натъква на Astaroth след като разглежда съмнителен скок в употребата на инструмента Windows Management Instrumentation Command-line (WMIC)

След детайлен анализ става ясно, че хакерите изпращат имейли с линк до .LNK shortcut файл. При изпълнението на файла се стартира легитимният WMIC инструмент, както и няколко други инструменти на Windows. Те започват да теглят още приложения в системната памет. Програмите обменят информация помежду си, без да я запазват на твърдия диск. Чак тук идва момента, в който Astaroth се изтегля и пуска на системата, отново в паметта. Троянският кон запазва информация за самоличността на потребителя от редица приложения и я качва на отдалечен команден сървър.

Ето схема на целия процес:

Тъй като няма файл, който да се запазва на хард диска, по време на инфекцията, традиционният антивирусен софтуер трудно може да засече какво се случва.

„При тази техника се използват легитимни инструменти, които вече са налични на компютъра. Така заразяването се маскира като нормална дейност. Хакерът след това може да използва откраднатата информация, за да извърши финансови измами или да продаде информацията на други престъпници. Посредством странично движение по мрежата (Network Lateral Movement) атакуващият търси достъп до други компютри.“, разказва Andrea Lelli от екипа на Microsoft, който открива проблема.

Може да прочетете повече за Network Lateral Movement на тази страница.

Lelli отбелязва, че безфайловият механизъм на работа не значи, че този malware е невидим или не може да бъде засечен по никакъв начин.

„Някои от безфайловите техники могат да използват толкова необичаен и аномален подход, че да привлекат вниманието към себе си, така както една торба с пари би го направила.“, обяснява той.

Със сигурност извършителите на киберпрестъпления стават все по-изобретателни в изработката на инструментите, с които извършват своите атаки. Постоянно виждаме използването на нови подходи.

Смятате ли, че антивирусните програми и експертите по сигурността могат да спечелят войната в дългосрочен план?

0 0 гласа
Оценете статията
Абонирай се
Извести ме за
guest
3 Коментара
стари
нови оценка
Отзиви
Всички коментари