Los investigadores del equipo de investigación de Microsoft Defender ATP detectaron una campaña de malware sin archivos utilizada por los atacantes para llevar la información que robaba el troyano de Astaroth a la memoria de las computadoras infectadas.
El troyano y ladrón de información Astaroth es una variedad de malware capaz de robar información sensible, como las credenciales de usuario de sus víctimas, mediante el uso de un módulo de registrador de claves, la intercepción de llamadas del sistema operativo y la supervisión del portapapeles.
Astaroth también es conocido por abusar de los binarios que viven en la tierra (LOLbins), como la interfaz de línea de comandos de la línea de comandos de Instrumental de administración de Windows ( WMIC ) para descargar e instalar sigilosamente las cargas de malware en segundo plano.
La campaña de malware descubierta por el equipo de investigación de Microsoft Defender ATP utiliza varias técnicas sin vida y un proceso de infección de múltiples etapas que comienza con un correo electrónico de phishing que contiene un enlace malicioso que llevó a las posibles víctimas a un archivo LNK.
Después de hacer doble clic en "el archivo LNK provoca la ejecución de la herramienta WMIC con el parámetro" / Format ", que permite la descarga y ejecución de un código JavaScript. El código JavaScript a su vez descarga las cargas útiles al abusar de la herramienta Bitsadmin".
Las cargas útiles maliciosas descargadas en segundo plano están codificadas en Base64 y se descodifican en los sistemas comprometidos utilizando la herramienta Certutil legítima en forma de cuatro DLL que se cargarán con la ayuda de la herramienta Regsvr32.
El archivo DLL cargado posteriormente cargará una segunda DLL en la memoria que cargará de manera reflexiva una tercera, diseñada para descifrar e inyectar otra DLL en Userinit. Esta cuarta DLL actúa como un proxy que cargará de manera reflexiva una quinta DLL en la memoria utilizando el proceso de vaciado .
Este quinto y último archivo DLL es la carga útil del malware troyano infostealer Astaroth final que recopilará y exfiltrará varios tipos de información confidencial de sus víctimas a los servidores de comando y control (C2) controlados por los atacantes.
"Es interesante observar que en ningún momento durante la cadena de ataque se ejecuta ningún archivo que no sea una herramienta del sistema. Esta técnica se denomina vivir fuera de la tierra: usar herramientas legítimas que ya están presentes en el sistema objetivo para enmascararse como una actividad regular". Añadieron los investigadores.
Los investigadores de Microsoft describen solo las etapas iniciales y de ejecución del ataque de malware en su informe, dado que solo se enfocaron en cómo la infección de troyanos fue detectada y bloqueada por el ATP de Microsoft Defender.
Las características y tecnologías de defensa utilizadas por Microsoft Defender ATP para detener la infección se detallan en un gráfico que detalla paso a paso las soluciones utilizadas para identificar y prevenir una infección de Astaroth en las computadoras Windows afectadas.
El equipo de investigación ATP de Microsoft Defender también enumera las técnicas utilizadas en el ataque de malware sin archivos Astaroth en cada etapa de infección y las herramientas de Windows empleadas para propagar sigilosamente la infección en sistemas comprometidos.
Como concluyó Andrea Lelli de Microsoft Defender ATP Research , "abusar de las técnicas sin archivos no pone el malware más allá del alcance o la visibilidad del software de seguridad. Por el contrario, algunas de las técnicas sin archivos pueden ser tan inusuales y anómalas que llaman la atención inmediata sobre el malware. de la misma manera que una bolsa de dinero moviéndose por sí misma lo haría ".
En febrero, Cybereason observó otra campaña de Astaroth mientras explotaba soluciones de seguridad y antimalware, así como técnicas de "vivir fuera de la tierra" y abusando de binarios de "vida fuera de la tierra" (LOLbins) para robar información de europeos y Objetivos brasileños.
Fecha actualización el 2021-07-09. Fecha publicación el 2019-07-09. Categoría: troyano Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil