Computer Security L'attacco di malware DLL "Great Duke Of Hell" scopre la...

L'attacco di malware DLL "Great Duke Of Hell" scopre la pericolosa minaccia di malware senza file di Astaroth

grande attacco informatico astaroth senza duca del inferno Microsoft ha recentemente sollevato il velo su come un malware senza file molto spiacevole che funzioni per rubare dati senza mai essere installato sul computer di una vittima: Astaroth .

Prende il nome da un demone con lo stesso nome direttamente dai libri occulti Ars Goetia e La chiave di Salomone, detto per sedurre le sue vittime attraverso vanità e pigrizia, questo malware è in circolazione dal 2017. Era principalmente usato per rubare dati da società sudamericane ed europee in attacchi mirati che hanno utilizzato il phishing di spear come punto di accesso.

è qualcosa che rende unica questa specifica infezione, secondo il ricercatore di Microsoft Defender APT Andrea Lelli, in quanto ha la capacità di infiltrarsi di nascosto nei metodi di rilevamento di alcuni programmi antivirus tradizionali.

Secondo Lelli, Astaroth è noto per il furto di informazioni su credenziali personali, keylogging e altro, i dati che vengono poi estratti a un server remoto. Gli aggressori utilizzano quindi i dati per furti finanziari, vendendo informazioni personali ad altri criminali o addirittura spostandosi lateralmente attraverso le reti.

In che modo Astaroth infetta i sistemi

attacco di solito inizia quando una vittima apre un collegamento al interno di e-mail create pensando allo spear-phishing, uno strumento di ingegneria sociale che gli aggressori usano come parte delle loro operazioni. Questo tipo di truffa mira ad aprire il collegamento, che apre un file di collegamento ai comandi del terminale che finiscono per scaricare ed eseguire il codice JavaScript che rende possibile infezione. Lo script scarica ed esegue due file DLL che gestiscono la registrazione e il caricamento delle informazioni raccolte, pur fingendo di essere processi di sistema legittimi.

La procedura funziona bene con gli strumenti di rilevamento basati su firma, poiché solo i file DLL vengono scaricati o installati. Questo lo rende quindi ci sono poche possibilità di scansionare e catturare attacco nel processo. Questo approccio ha permesso ad Astaroth di volare sotto il radar e prosperare online sin dalla fine del 2017 senza la solita dipendenza da downloader di trojan o exploit di vulnerabilità.

Misure di rilevamento malware senza file

Secondo Lelli, le tradizionali soluzioni antivirus incentrate sui file hanno solo una possibilità di rilevare attacco - durante il download dei due file DLL, poiché eseguibile utilizzato nel attacco è considerato non dannoso. Le DLL utilizzano offuscamento del codice e variano tra le campagne, il che significa che concentrarsi sul rilevamento di quei due sarebbe "una trappola viziosa", ha aggiunto Lelli.

Microsoft e altri fornitori hanno dovuto fare affidamento su strumenti di rilevamento euristico, come quelli che osservano attentamente uso del codice della riga di comando WMIC, applicando le regole quando si verifica un caricamento di file DLL. Controllando età del file, bloccando esecuzione delle DLL appena create e tattiche simili, gli strumenti di sicurezza più recenti riescono a raggiungere malware senza file.

Caricamento in corso...