Computer Security Ataque de Malware 'Grande Duque do Inferno'

Ataque de Malware 'Grande Duque do Inferno'

grande ataque de malware astaroth sem duque do inferno A Microsoft recentemente levantou o véu sobre como um malware sem arquivo desagradável que trabalha para roubar dados sem ter que ser instalado na máquina da vítima - Astaroth.

Com o nome de um demônio de mesmo nome, direto dos livros ocultistas Ars Goetia e The Key of Solomon, disse para seduzir suas vítimas através da vaidade e da preguiça, este malware está em circulação desde 2017. Ele foi usado principalmente para roubar dados de empresas da América do Sul e da Europa em ataques direcionados que usavam spear phishing como ponto de entrada.

Há algo que torna essa infecção específica única, de acordo com Andrea Lelli, pesquisadora do Microsoft Defender APT, pois tem a capacidade de se infiltrar furtivamente sob os métodos de detecção de alguns programas anti-vírus tradicionais.

De acordo com Lelli, Astaroth é notório pelo roubo de informações de credenciais pessoais, keylogging e mais, dados que são então exfiltrados para um servidor remoto. Os invasores então usam os dados para roubo financeiro, vendendo informações pessoais a outros criminosos ou até mesmo movendo-se lateralmente pelas redes.

Como o Astaroth Infecta os Sistemas

O ataque geralmente começa quando a vítima abre um link dentro de e-mails feitos com spear-phishing em mente - uma ferramenta de engenharia social que os invasores usam como parte de suas operações. Esse tipo de golpe visa abrir o link, que abre um arquivo de atalho para os comandos do terminal que acabam baixando e executando o código JavaScript que torna a infecção possível. O script faz o download e executa dois arquivos DLL que manipulam o registro e o upload de informações coletadas, enquanto fingem ser processos legítimos do sistema.

O procedimento funciona bem contra ferramentas de detecção baseadas em assinatura, já que nada além dos arquivos DLL é baixado ou instalado. Isso faz com que haja pouca chance de escanear e capturar o ataque no processo. Essa abordagem permitiu que a Astaroth voasse sob o radar e prosperasse on-line desde os últimos dias de 2017, sem a habitual dependência de downloaders de trojan ou quaisquer explorações de vulnerabilidades.

Medidas de Detecção de Malware Sem Arquivo

De acordo com Lelli, as tradicionais soluções anti-vírus centradas em arquivos têm apenas uma chance de detectar o ataque - durante o download dos dois arquivos DLL, já que o executável usado no ataque é considerado não malicioso. As DLLs usam ofuscação de código e variam entre as campanhas, o que significa que o foco na detecção dessas duas seria "uma armadilha cruel", acrescentou Lelli.

A Microsoft e outros fornecedores tiveram que confiar em ferramentas de detecção heurística, como aquelas que observam atentamente o uso do código de linha de comando da WMIC, aplicando as regras quando qualquer carregamento de arquivos DLL acontece. Verificar a idade do arquivo, bloquear a execução de DLLs recém-criadas e táticas semelhantes, permite que novas ferramentas de segurança consigam detectar malware sem arquivo.

Ataque de Malware 'Grande Duque do Inferno' capturas de tela

astaroth trojan spreading
Carregando...