В скорошен блог пост Microsoft Defender ATP екипът предупреждава за опасен малуер с името “Astaroth”, който застрашава Windows потребителите.
Специалистите са разкрили опасната кампания на вируса, след като са получили данни за повишено използване на Windows Management Instrumentation Command-Line (WMIC) през месеците май и юни. Това наложило залагането на алгоритъм, който е установил кампания на опасния малуер, който няма файл и е от типа “file-less” малуер.
За пръв път специалисти по сигурността се натъкват на “Astaroth” през 2018-а година, а по-късно и през тази година, когато на прицел са били потребители от Европа и Бразилия. Той е известен с това, че краде пароли на потребителите и ги качва на отдалечени сървъри.
We recently unearthed a campaign that completely "lived off the land" throughout a complex attack chain that ran the info-stealing backdoor #Astaroth directly in memory. See how #MicrosoftDefenderATP next-gen protection defeated the #fileless attack: https://t.co/c2G53Ll2kf
— Microsoft Security Intelligence (@MsftSecIntel) July 8, 2019
Сега експертите на Майкрософт откриват малуер кампания, разпространяваща се чрез спам имейли, които се разпращат на потребителите. В тези имейли се съдържа линк към уеб сайт, който хоства .lnk файл. Това е шорткът файл при Windows.
Когато потребителите свалят този файл, автоматично се стартира WMIC, което инициира допълнителни операции и сваляне на Astaroth троянеца. Най-опасният момент при този троянец е фактът, че той няма файлове, което означава, че всички операции се извършват в системната памет вместо на хард диска на машината.
Това прави този вирус прави трудно уловим за антивирусните инструменти, които не могат да реагират на време и да предприемат действия по неговото блокиране и отстраняване.
Освен това Astaroth използва “living-off-the-land” начин на действие, при който всички необходими ресурси за задействането му се намират вече на целевата машина под формата на системни приложения, както е показано по-горе в изображението.
С пълните детайли относно опасния троянец можете да се запознаете в официалния блог пост.
