Cuidado! Microsoft Spotted Spike em ataques de malware sem arquivo Astaroth

Pesquisadores de segurança da Microsoft divulgaram detalhes de uma nova campanha generalizada distribuindo uma infame peça de malware sem arquivo que foi encontrada principalmente para usuários europeus e brasileiros no início deste ano.

Apelidado de Astaroth, o malware trojan circula desde pelo menos 2017 e foi projetado para roubar informações confidenciais de usuários, como suas credenciais, pressionamentos de tecla e outros dados, sem descartar nenhum arquivo executável no disco ou instalar qualquer software na máquina da vítima.

Inicialmente descoberto por pesquisadores da Cybereason em fevereiro deste ano, a Astaroath viveu da terra carregando a carga diretamente na memória de um computador alvo ou utilizando ferramentas legítimas do sistema, como WMIC, Certutil, Bitsadmin e Regsvr32, para executar o malware. código.
   
Ao analisar os dados de telemetria do Windows, Andrea Lelli, pesquisadora da equipe de pesquisa ATP da Microsoft, identificou recentemente um pico repentino no uso da ferramenta WMIC (Instrumentação de Gerenciamento de Instrumentação), levando à divulgação de um ataque sem filtro.

Investigações posteriores revelaram que os invasores por trás dessa campanha estão distribuindo malware Astaroth de vários estágios por meio de e-mails de spear phishing com um link malicioso para um site que hospeda um arquivo de atalho do LNK.

Clicar no arquivo de atalho executa a ferramenta WMIC interna do Windows que baixa e executa um código JavaScript, que ainda utiliza a ferramenta Bitsadmin para baixar todas as outras cargas maliciosas que realmente executam as tarefas maliciosas de furtar e carregar os dados da vítima enquanto se disfarçam como um sistema processo.

“Todos os payloads são codificados em Base64 e decodificados usando a ferramenta Certutil. Dois deles resultam em arquivos DLL simples (os outros permanecem criptografados)”, disse o pesquisador em um post publicado na segunda-feira.

“A ferramenta Regsvr32 é usada para carregar uma das DLLs decodificadas, que por sua vez decripta e carrega outros arquivos até que a carga final, Astaroth, seja injetada no processo Userinit.”

Isso significa que o malware não depende de qualquer exploração de vulnerabilidade ou do tradicional trojan downloader para fazer download de qualquer coisa no sistema de destino. Em vez disso, ele depende completamente de ferramentas e comandos do sistema durante toda a sua cadeia de ataque para se passar por uma atividade regular.

Essa técnica é chamada de “vivendo fora da terra” e permite que o malware evite a detecção da maioria das soluções de segurança antivírus end-point, que são baseadas na análise de arquivos estáticos.

Os estágios iniciais de acesso e execução para instalar silenciosamente o malware Astaroth nos dispositivos de destino foram demonstrados na cadeia de ataque mostrada acima.
   
Uma vez no sistema de destino, Astaroth tenta roubar informações confidenciais, como credenciais, pressionamentos de teclas e outros dados, e enviá-los para um servidor remoto controlado pelos invasores.

O invasor pode usar esses dados roubados para tentar “mover-se lateralmente pelas redes, realizar roubos financeiros ou vender informações sobre vítimas no submundo dos cibercriminosos”, disse o pesquisador.

A Microsoft disse que os vários recursos da proteção de próxima geração Defender ATP podem detectar esses ataques de malware sem arquivo em cada estágio de infecção, enquanto outras soluções de segurança centradas em arquivos não protegem seus clientes.

Andrea disse: “ser sem-arquivos não significa ser invisível; certamente não significa ser indetectável. Não existe crime cibernético perfeito: mesmo o malware sem arquivo deixa um longo rastro de evidências”.

Para saber mais sobre o malware Astaroth, você pode acessar a postagem do blog Cybereason publicada em fevereiro deste ano, com detalhes detalhados sobre o funcionamento do malware e suas habilidades.

Marcelo BressanCuidado! Microsoft Spotted Spike em ataques de malware sem arquivo Astaroth