Attacco malware Malware 'Great Duke Of Hell' scopre la minaccia di Malware senza filetto Astaroth

Entro CagedTech nel Computer Security

Traduci in:

grande duca del inferno attacco di malware astaroth senza file Recentemente Microsoft ha sollevato il velo su come uno spiacevole malware senza file che funzioni per rubare dati senza dover essere installato sulla macchina della vittima - Astaroth .

Prende il nome da un demone con lo stesso nome tratto dai libri occulti "Ars Goetia" e "La chiave di Salomone", detto per sedurre le sue vittime attraverso la vanità e la pigrizia, questo malware è in circolazione dal 2017. Era principalmente usato per rubare i dati dalle società sudamericane ed europee in attacchi mirati che hanno utilizzato il germoglio spear come punto di ingresso.

è qualcosa che rende unica questa specifica infezione, secondo il ricercatore di Microsoft Defender APT, Andrea Lelli, in quanto ha la capacità di infiltrarsi furtivamente sotto i metodi di rilevamento di alcuni programmi antivirus tradizionali.

Secondo Lelli, Astaroth è noto per il furto di informazioni relative a credenziali personali, keylogging e altro, dati che vengono poi esportati su un server remoto. Gli aggressori utilizzano quindi i dati per il furto finanziario, vendendo informazioni personali ad altri criminali o anche spostandosi lateralmente attraverso le reti.

Sommario

Come Astaroth infetta i sistemi

attacco di solito inizia quando una vittima apre un link al interno di e-mail con lo spear-phishing in mente - uno strumento di ingegneria sociale che gli hacker utilizzano come parte delle loro operazioni. Questo tipo di truffa mira ad aprire il collegamento, che apre un file di collegamento ai comandi del terminale che finiscono per scaricare ed eseguire il codice JavaScript che rende possibile infezione. Lo script scarica ed esegue due file DLL che gestiscono la registrazione e il caricamento delle informazioni raccolte, facendo finta di essere processi di sistema legittimi.

La procedura funziona bene contro gli strumenti di rilevamento basati sulla firma, dal momento che nient altro che i file DLL vengono scaricati o installati. Questo lo rende così ci sono poche possibilità di scansionare e catturare attacco nel processo. Questo approccio ha permesso ad Astaroth di volare sotto il radar e prosperare online sin dai tardi giorni del 2017 senza la solita dipendenza dai downloader di trojan o da eventuali exploit di vulnerabilità.

Misure di rilevamento senza fileless del malware

Secondo Lelli, le tradizionali soluzioni antivirus incentrate sui file hanno una sola possibilità di rilevare attacco - durante il download dei due file DLL, dal momento che eseguibile utilizzato nel attacco è considerato non dannoso. Le DLL usano offuscamento del codice e variano da una campagna al altra, il che significa che concentrarsi sul rilevamento di queste due sarebbe "una trappola viziosa", ha aggiunto Lelli.

Microsoft e altri fornitori hanno dovuto affidarsi a strumenti di rilevamento euristico, come quelli che osservano da vicino uso del codice della riga di comando WMIC, applicando le regole quando avviene il caricamento di file DLL. Il controllo del età del file, il blocco delle DLL appena create dal esecuzione e tattiche simili consente ai nuovi strumenti di sicurezza di raggiungere il malware senza file.