Echipa Cybereason Nocturnus Research a declarat într-un blog post că această variantă a troianului este capabilă să utilizeze module din software-ul de securitate cibernetică pentru fura datele de autentificare online și datele personale. În cea mai recentă formă a sa, Astaroth este folosit în campaniile spam din Brazilia și Europa, cu mii de infecții înregistrate până la finalul lui 2018. Malware-ul se răspândește prin intermediul atașamentelor de fișiere .7zip și a link-urilor rău intenționate. Cercetătorii în domeniul securității cibernetice au declarat că troianul se deghizează în fișiere .JPEG, .GIF sau fără extensie pentru a evita detectarea atunci când este executat. Dacă e-mail-urile spam sau mesajele phishing se dovedesc de succes și fișierul este descărcat și deschis, instrumentul legitim Microsoft BITSAdmin este folosit pentru a descărca payload-ul complet de pe un server de comandă și control (C2). După inițializare, malware-ul lansează un script XSL care stabilește un canal cu serverul C2. Scriptul conține funcții pentru a se ascunde de software-ul antivirus și este responsabil de procesul care utilizează BITSAdmin pentru a descarcă payload-uri, inclusiv Astaroth, de pe un server C2 distinct.

Variantele anterioare ale troianului lansau apoi o scanare pentru a găsi programe antivirus, iar dacă Avast, în special, era prezent pe sistemul infectat, malware-ul renunța. Cu toate acestea, Astaroth abuzează acum de programul antivirus pentru a “injecta un modul malware într-unul din procesele sale”, potrivit cercetătorilor. Dacă Avast este detectat, Avast Software Runtime Dynamic Link Library ce rulează module pentru Avast, aswrundll.exe, este abuzat. Executabilul – care este similar cu Microsoft rundll32.exe – poate executa DLLS prin apelare la funcțiile exportate. Abuzarea acestor sisteme este cunoscută drept LOLbins.

Un program de securitate antifraudă furnizat de GAS Tecnologia este exploatat în aceeași manieră. Troianul a apărut pentru prima dată în atacuri împotriva persoanelor fizice din America de Sud în 2017. Malware-ul este capabil să obțină informații referitoare la mașinile țintă, parole, date cheie și orice conținut din clipboard. În plus, Astaroth este capabil de keylog, să intercepteze apelurile dacă este instalat pe un dispozitiv adecvat și să închidă procesele. Malware-ul folosește, de asemenea, o metodă fromCharCode() pentru a ascunde executarea de cod, o actualizare față de versiunile anterioare ale sale.

„Pe măsură ce înaintăm în 2019, anticipăm că utilizarea WMIC și a altor LOLbins va crește”, au declarat cei de la Cybereason. Luna trecută, un nou studiu publicat de Malwarebytes sugera că atacurile cu troieni și backdoor s-au dublat anul trecut. Atacurile spyware, de asemenea, au crescut cu 142% în aceeași perioadă.

SURSA: smartnews.ro