Microsoft advarer mot Astaroth fileless trojanske angrep

Microsofts eksperter advart brukere om en aktiv ondsinnet kampanje for å infisere datamaskiner med Astaroth malware, som er vanskelig å oppdage med kjente sikkerhetsløsninger.

THan Windows Defender ATP utviklingsteam, en kommersiell versjon av Windows Defender antivirusprodukt, oppdaget kampanjen.

“Våre eksperter mistenkte at noe var galt etter oppdagelsen av en kraftig økning i bruk av Windows Management Instrumentation Command-line (wmic) verktøy", – sier teammedlem Andrea Lelli.

wmic er en legitim verktøy i moderne versjoner av Windows, men en plutselig økning i bruken klart indikerte en ondsinnet kampanje. Looking stengt, eksperter oppdaget en storstilt operasjon for å sende fiske e-post med en link til nettsiden som inneholder .LNK fil.

Astaroth
Astaroth i demonologi, er den store Duke of Hell i første hierarki med Beelzebub og Lucifer; han er en del av den onde treenighet.
Etter nedlasting og åpne filen, Wmic og en rekke andre lovlige Windows-verktøy ble lansert, som er lagt ekstra kode, overførte dataene til hverandre, og henrettet koden utelukkende i minnet (den såkalte fileless utførelse). Siden ingen filer lagret på disken, de vanlige sikkerhetsløsninger ikke oppdage angrepet.

På den siste etappen av angrepet på systemet ble lastet ned Astaroth malware, som er en infostealer for å stjele legitimasjon for en rekke applikasjoner. De første angrep med bruken ble oppdaget i 2018. I februar i år, malware angrepet brukere i Europa og Brasil.

Microsoft eksperter har fikset en ny kampanje i mai og juni. Over 95% av alle de berørte brukerne bor i Brasil.

Les også: Den nye versjonen av Dridex bankmann slipping fra antiviruses

Som bemerket av Lelly, på ethvert stadium av angrepet er ikke brukte filer som vil bli lagret i systemet. Denne typen angrep, når bare verktøy som allerede finnes i systemet blir brukt, er kalt "å leve av jorda”. I løpet av de siste tre årene, angrep av denne typen blir brukt mer og mer, tvinge produsenter av antivirusløsninger for å utvikle nye måter å oppdage dem.

“Bruke usynlige teknikker og blir faktisk usynlig er to forskjellige ting. Å være usynlig kan hjelpe deg for noen ting, men du bør ikke være under illusjonen om at du er uovervinnelig. Det samme gjelder for fileless skadelig: misbruker fileless teknikker setter ikke malware utenfor rekkevidde eller synligheten av sikkerhetsprogramvare. Tvert imot, noen av fileless teknikker kan være så uvanlig og avvikende at de trekker umiddelbar oppmerksomhet til malware”, - argumenterer Andrea Lelli.

Dess, Microsoft ekspert krever bruk av avanserte utbygginger innen påvisning av virus og malware, inntil de klarte å forårsake maksimal skade.

Om Trojan Killer

Carry Trojan Killer Portable på minnepinne. Vær sikker på at du er i stand til å hjelpe din PC motstå eventuelle cyber trusler uansett hvor du går.

Sjekk også

MageCart på Heroku Cloud Platform

Forskere fant flere MageCart Web Skimmers På Heroku Cloud Platform

Forskere ved Malwarebytes rapportert om å finne flere MageCart web skimmere på Heroku Cloud Platform …

Android spyware CallerSpy

CallerSpy spyware masker som en Android-chat program

Trend Micro eksperter oppdaget malware CallerSpy, som masker som en Android-chat program og, …

Legg igjen et svar