Microsoft advarer om Astaroth fileless trojanske angreb

Astaroth Trojan

Microsoft eksperter advarede brugere om en aktiv ondsindet kampagne for at inficere computere med Astaroth malware, som er svære at opdage med velkendte sikkerhedsløsninger.

Than Windows Defender ATP udviklingsteam, en kommerciel version af Windows Defender antivirus produkt, opdaget kampagnen.

”Vores eksperter mistanke var noget galt efter opdagelsen af ​​en skarp stigning i brugen af ​​Windows Management Instrumentation Command-line (wmic) værktøj", – siger holdmedlem Andrea Lelli.

wmic er et legitimt redskab i moderne versioner af Windows, men en pludselig stigning i brugen klart angivet en ondsindet kampagne. looking lukket, eksperter opdagede en storstilet operation for at sende fiskeri mails med et link til hjemmesiden, der indeholder .LNK fil.

Astaroth
Astaroth i dæmonologi, er den store hertug af Helvede i første hierarki med Beelzebub og Lucifer; Han er en del af den onde treenighed.
Efter at have downloadet og åbne filen, Wmic og en række andre legitime Windows-værktøjer blev lanceret, der lastes yderligere kode, overført ene data til en anden, og henrettet koden udelukkende i hukommelsen (den såkaldte fileless udførelse). Da ingen filer blev gemt til disken, de sædvanlige sikkerhedsløsninger ikke opdage angrebet.

På den afsluttende fase af angrebet på systemet blev hentet Astaroth malware, som er en infostealer for at stjæle legitimationsoplysninger for en række applikationer. De første angreb med dens anvendelse blev opdaget i 2018. I februar i år, malware angreb brugere i Europa og Brasilien.

Microsoft eksperter har fastsat en ny kampagne i maj og juni. Over 95% af alle berørte brugere bor i Brasilien.

Læs også: Den nye version af den Dridex bankmand glider fra antiviruses

Som bemærket af Lelly, på ethvert tidspunkt i angrebet er ikke brugte filer, der vil blive gemt i systemet. Denne type angreb, når der kun redskaber, der allerede er til stede på systemet anvendes, Hedder "lever af jorden”. I løbet af de seneste tre år, angreb af denne type bliver brugt mere og mere, tvinger producenter af antivirus løsninger til at udvikle nye måder at opdage dem.

”Brug usynlige teknikker og være faktisk usynlig er to forskellige ting. At være usynlig kan hjælpe dig til nogle ting, men du bør ikke være under den illusion, at du er uovervindelig. Det samme gælder for fileless malware: misbruger fileless teknikker ikke sætte malware uden for rækkevidde eller synligheden af ​​sikkerhedssoftware. Tværtimod, nogle af de fileless teknikker kan være så usædvanligt og unormalt, at de trækker øjeblikkelig opmærksomhed på malware”, - argumenterer Andrea Lelli.

Derudover, Microsoft ekspert opfordrer til brug af avancerede udviklinger inden for påvisning af virus og malware, indtil det lykkedes dem at forårsage maksimal skade.

Foto af Polina Lisovskaya

Polina Lisovskaya

Jeg har arbejdet som marketingchef i årevis nu og elsker at søge efter interessante emner for dig
Efterlad et Svar

Efterlad et Svar

Tilbage til toppen knap