Майкрософт предупреждават за опасен Windows троянец “Astaroth”

0
19
“Astaroth” malware Windows

В скорошен блог пост Microsoft Defender ATP екипът предупреждава за опасен малуер с името “Astaroth”, който застрашава Windows потребителите.

Специалистите са разкрили опасната кампания на вируса, след като са получили данни за повишено използване на Windows Management Instrumentation Command-Line (WMIC) през месеците май и юни. Това наложило залагането на алгоритъм, който е установил кампания на опасния малуер, който няма файл и е от типа “file-less” малуер.

За пръв път специалисти по сигурността се натъкват на “Astaroth” през 2018-а година, а по-късно и през тази година, когато на прицел са били потребители от Европа и Бразилия. Той е известен с това, че краде пароли на потребителите и ги качва на отдалечени сървъри.

Сега експертите на Майкрософт откриват малуер кампания, разпространяваща се чрез спам имейли, които се разпращат на потребителите. В тези имейли се съдържа линк към уеб сайт, който хоства .lnk файл. Това е шорткът файл при Windows.

Когато потребителите свалят този файл, автоматично се стартира WMIC, което инициира допълнителни операции и сваляне на Astaroth троянеца. Най-опасният момент при този троянец е фактът, че той няма файлове, което означава, че всички операции се извършват в системната памет вместо на хард диска на машината.

Astaroth trojan Windows
Astaroth “living-off-the-land” Windows атака.

Това прави този вирус прави трудно уловим за антивирусните инструменти, които не могат да реагират на време и да предприемат действия по неговото блокиране и отстраняване.

Прочетете още:  Криптовирусът Cerber е на върха на класацията по атаки

Освен това Astaroth използва “living-off-the-land” начин на действие, при който всички необходими ресурси за задействането му се намират вече на целевата машина под формата на системни приложения, както е показано по-горе в изображението.

С пълните детайли относно опасния троянец можете да се запознаете в официалния блог пост.

5/5 (1 Review)

ОСТАВЕТЕ КОМЕНТАР

Моля, въведете коментар!
Моля, въведете името си тук