Astaroth, trojan especializado em roubar informações confidenciais foi descoberto no ano passado e até agora, ele evoluiu para um malware furtivo, diversificando sua proteção contra verificações para evitar que pesquisadores de segurança o detectem e interrompam.
No ano passado, a Microsoft anunciou a descoberta de muitas campanhas de malware em andamento pela equipe ATP do Windows Defender. Essas campanhas distribuíram o malware Astaroth sem arquivo, o que o torna ainda mais perigoso.
Falando em campanhas de malware, você pode eliminá-las pela raiz com essas ferramentas antimalware.
Veja como um pesquisador do Microsoft Defender ATP descreveu os ataques:
Eu estava fazendo uma revisão padrão da telemetria quando percebi uma anomalia em um algoritmo de detecção projetado para detectar uma técnica específica sem arquivo. A telemetria mostrou um aumento acentuado no uso da ferramenta de linha de comando de instrumentação de gerenciamento do Windows (WMIC) para executar um script (uma técnica que MITER se refere a processamento de script XSL), indicando um ataque sem arquivo
O que está Astaroth até agora?
Em um novo relatório, Cisco Talos diz que Astaroth ainda depende de campanhas de e-mail para distribuição, tem uma execução sem arquivo e está vivendo da terra (LOLbins). A má notícia é que ele também ganhou três novas atualizações importantes citadas no relatório Cisco Talos:
- Astaroth implementa uma série robusta de técnicas anti-análise / evasão, entre as mais completas que vimos recentemente.
- Astaroth é eficaz em evitar a detecção e garantir, com razoável certeza, que está sendo instalado apenas em sistemas no Brasil e não em sandboxes e sistemas de pesquisadores.
- O novo uso de canais do YouTube para C2 ajuda a evitar a detecção, aproveitando um serviço comumente usado em portas comumente usadas.
O que é Astaroth e como funciona?
Se você não sabia, Astaroth é um malware conhecido focado em roubar informações confidenciais, como credenciais e outros dados pessoais, e enviá-las de volta ao invasor.
Embora muitos usuários do Windows 10 tenham um software antimalware ou antivírus, a técnica sem arquivo torna o malware mais difícil de detectar. Aqui está o esquema de OPs sobre como o ataque funciona:
Uma coisa muito interessante é que nenhum arquivo, exceto ferramentas do sistema, está envolvido no processo de ataque. Esta técnica é chamada vivendo da terra e geralmente é usado para fazer backdoor facilmente de soluções antivírus tradicionais.
Como posso proteger meu sistema contra este ataque?
Em primeiro lugar, certifique-se de que o seu Windows 10 está atualizado. Além disso, certifique-se de que o Firewall do Windows Defender esteja instalado e funcionando e tenha as últimas atualizações de definição.
Não se exponha a riscos desnecessários. Descubra por que o Windows Defender é a única barreira contra malware de que você precisa!
Se você é um usuário do Office 365, ficará feliz em saber que:
Para esta campanha Astaroth, Office 365Advanced Threat Protection (Office 365ATP) detecta os e-mails com links maliciosos que iniciam a cadeia de infecção.
Felizmente, Astaroth tem como alvo principalmente o Brasil, e os e-mails que você receberia estão em português. No entanto, esteja alerta sobre isso.
Como sempre, para mais sugestões ou perguntas, vá para a seção de comentários abaixo.
Nota do editor: Esta postagem foi publicada originalmente em julho de 2019 e, desde então, foi reformulada e atualizada em maio de 2020 para atualização, precisão e abrangência.
- Cíber segurança
- malware