El malware descubierto por los expertos del equipo de investigación de Microsoft Defender ATP, es capaz de registrar las pulsaciones de teclas de los usuarios, recopilar información mediante enganches, acceder al contenido del portapapeles y supervisar el estado de las teclas.
El troyano Astaroth fue visto por primera vez por la empresa de seguridad Cofense a finales de 2018, cuando participó en una campaña dirigida a Europa y Brasil. El software maligno abusó de los binarios de vida fuera de la tierra (LOLbins), como la interfaz de línea de comandos de la Windows Management Instrumentation Console (WMIC) para descargar e instalar cargas útiles maliciosas en segundo plano. Según los expertos, los LOLbins son muy eficaces a la hora de eludir el software antivirus.
La campaña de malware se vale de varias técnicas sin vida y un proceso de infección en varias etapas.
“Estaba haciendo una revisión estándar de telemetría cuando noté una anomalía en un algoritmo de detección diseñado para capturar una técnica específica sin filamentos”, dice el análisis publicado por Andrea Lelli, de Microsoft. “La telemetría mostró un fuerte incremento en el uso de la herramienta Windows Management Instrumentation Command-line (WMIC) para ejecutar un script (una técnica que MITRE refiere a XSL Script Processing), indicando un ataque sin archivos.”
La cadena de ataque comienza con mensajes de “spear-phishing” que contienen un enlace malicioso que lleva a las víctimas potenciales a un archivo LNK.
Una vez que la víctima ha hecho doble clic, “LNK file triggers la ejecución de la herramienta WMIC con el parámetro “/Format”. Luego se descarga y ejecuta un JavaScript, que se utiliza para descargar cargas útiles abusando de la herramienta Bitsadmin.
Las cargas útiles descargadas están todas codificadas en Base64 usando la herramienta Certutil legítima.
Todas las cargas útiles están codificadas y decodificadas en Base64 usando la herramienta Certutil. Dos de las cargas útiles resultan en archivos DLL simples que son cargados usando la herramienta Regsvr32. Una vez cargadas, las DLLs descifrarán y cargarán otros archivos hasta el último troyano de Astaroth que se inyecte en el proceso Userinit.
La penúltima DLL cargará reflectivamente la quinta DLL en la memoria usando el proceso de vaciado.
“Es interesante observar que en ningún momento durante la cadena de ataque se ejecuta ningún archivo que no sea una herramienta del sistema. Esta técnica se llama vivir de la tierra: utilizar herramientas legítimas que ya están presentes en el sistema de destino para disfrazarse de actividad habitual”, prosiguen los expertos.
Los detalles técnicos de cada etapa de infección se incluyen en el análisis publicado por Microsoft.
En febrero, los investigadores del equipo Nocturnus de Cybereason descubrieron otra campaña de Astaroth Trojan que estaba explotando el software antivirus y de seguridad Avast desarrollado por GAS Tecnologia para robar información y eliminar módulos maliciosos.
Con información de: www.clasesordenador.com
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian