Microsoft advierte de ataques de troyanos Astaroth sin archivo

Astaroth de Troya

expertos de Microsoft advirtió a los usuarios acerca de una malintencionada campaña activa para infectar ordenadores con software malicioso Astaroth, lo cual es difícil de detectar con soluciones de seguridad conocidos.

TWindows Defender que el equipo de desarrollo de ATP, una versión comercial del producto antivirus de Windows Defender, descubierto la campaña.

“Nuestros expertos sospecha de que algo estaba mal después del descubrimiento de un aumento sostenido en el uso de la línea de comandos de Instrumental de administración de Windows (WMIC) herramienta", – dice el miembro del equipo de Andrea Lelli.

WMIC es una herramienta legítima en las versiones modernas de Windows, pero un aumento repentino en su uso indica claramente una campaña maliciosa. cerrado en, expertos descubrieron una operación a gran escala para enviar correos electrónicos de pesca con un enlace a la página web que contiene el .LNK expediente.

Astaroth
Astarot en demonología, es el Gran Duque del infierno en la primera jerarquía con Belcebú y Lucifer; que es parte de la trinidad del mal.
Después de descargar y abrir el archivo, WMIC y una serie de otras herramientas legítimas de Windows se pusieron en marcha, que cargan código adicional, transferido los datos uno a otro, y ejecutado el código exclusivamente en la memoria (la llamada ejecución sin archivo). Dado que no hay archivos se guardaron en el disco, las soluciones de seguridad habituales no detectaron el ataque.

En la etapa final del ataque contra el sistema fue descargado software malicioso Astaroth, que es un Infostealer por el robo de credenciales para un número de aplicaciones. Los primeros ataques con su uso se descubrieron en 2018. En febrero de este año, el malware ataca a los usuarios en Europa y Brasil.

expertos de Microsoft han fijado una nueva campaña en mayo y junio. Terminado 95% de todos los usuarios afectados que viven en Brasil.

leer también: La nueva versión del banquero Dridex deslizamiento de los antivirus

Como se ha señalado por Lelly, en cualquier etapa del ataque no son archivos usados ​​que se pueden guardar en el sistema. Este tipo de ataque, cuando se usan sólo las herramientas que ya están presentes en el sistema, se llama "viviendo de la tierra”. En los últimos tres años, ataques de este tipo se están utilizando cada vez más, obligando a los fabricantes de soluciones antivirus para desarrollar nuevas formas de detectarlos.

“Utilizando técnicas invisibles y ser realmente invisible son dos cosas diferentes. Ser invisible que puede ayudar para algunas cosas, pero no debe estar bajo la ilusión de que son invencibles. Lo mismo se aplica al software malicioso sin archivo: abusar de las técnicas sin archivo no pone el malware más allá del alcance o visibilidad de software de seguridad. De lo contrario, algunas de las técnicas sin archivo puede ser tan inusual y anómalo que llaman la atención inmediata para el malware”, - sostiene Andrea Lelli.

Adicionalmente, Microsoft experto exige el uso de desarrollos avanzados en el campo de la detección de virus y malware, hasta que lograron causar el máximo daño.

foto de Polina Lisovskaya

Polina Lisovskaya

Trabajo como gerente de marketing desde hace años y me encanta buscar temas interesantes para ti.
Deja una respuesta

Deja una respuesta

Botón volver arriba