Μια νέα παραλλαγή του Trojan Astaroth έχει τη δυνατότητα να εκμεταλλεύεται ευάλωτες διεργασίες σε λογισμικό και υπηρεσίες προστασίας από ιούς. Ερευνητές της ομάδας Nocturnus της Cybereason, ανέφεραν σήμερα σε μια δημοσίευση στο blog τους ότι η παραλλαγή είναι σε θέση να χρησιμοποιεί modules λογισμικού ασφαλείας για να κλέβει διαπιστευτήρια και προσωπικά δεδομένα στο διαδίκτυο.
Στην τελευταία μορφή του, το Astaroth χρησιμοποιείται σε εκστρατείες ανεπιθύμητης αλληλογραφίας σε ολόκληρη τη Βραζιλία και την Ευρώπη, καταφέρνοντας χιλιάδες μολύνσεις μέχρι τα τέλη του 2018. Το κακόβουλο λογισμικό εξαπλώνεται μέσω αρχείων .zip και κακόβουλων συνδέσεων.
Astaroth Trojan: Πως λειτουργεί
Οι ερευνητές αναφέρουν ότι το Trojan μεταμφιέζεται σε JPEG, .GIF ή κάποιο αρχείο χωρίς επέκταση για να αποφύγει την ανίχνευση από εφαρμογές ασφαλείας. όταν εκτελείται σε ένα μηχάνημα. Για να ολοκληρωθεί η λήψη του κακόβουλου λογισμικού χρησιμοποιείται το εργαλείο Microsoft Windows BITSAdmin από ένα διακομιστή εντολών και ελέγχου (C2). Μετά την λήψη, το κακόβουλο πρόγραμμα τρέχει ένα XSL script που δημιουργεί ένα κανάλι με τον διακομιστή C2. Το script, φέρεται να περιέχει λειτουργίες που βοηθούν την κακόβουλη εφαρμογή να κρυφτεί από λογισμικό ασφαλείας, αλλά και για να αξιοποιήσει το εργαλείο BITSAdmin για τη λήψη κακόβουλων φορτίων, από έναν ξεχωριστό διακομιστή C2. Οι προηγούμενες παραλλαγές του Trojan προσπαθούσαν στη συνέχεια για να βρουν προγράμματα προστασίας από ιούς και, σε περίπτωση που υπήρχε το Avast σε ένα μολυσμένο σύστημα, το malware θα σταματούσε να λειτουργεί. Ωστόσο, το νέο Astaroth μπορεί να κοροϊδέψει το πρόγραμμα προστασίας από ιούς και να προσθέσει “ένα κακόβουλο module σε μια από τις διεργασίες του”, σύμφωνα με τους ερευνητές. Αν ανιχνεύσει το Avast, παραβιάζει το Avast Software Runtime Dynamic Link Library, το οποίο τρέχει modules για το Avast με την διεργασία aswrundll.exe. Το εκτελέσιμο αρχείο – το οποίο μοιάζει με το rundll32.exe της Microsoft – μπορεί να τρέξει DLL καλώντας τις εξαγόμενες λειτουργίες του. Το Trojan εμφανίστηκε για πρώτη φορά σε επιθέσεις εναντίον χρηστών στη Νότια Αμερική κατά τη διάρκεια του 2017. Το κακόβουλο λογισμικό είναι σε θέση να κλέβει πληροφορίες από συστήματα στόχους, όπως κωδικούς πρόσβασης, δεδομένα από το πληκτρολόγιο και οποιοδήποτε περιεχόμενο υπήρχε στο πρόχειρο. Επιπλέον, το Astaroth είναι επίσης σε θέση να παρακολουθεί κλήσεις εάν είναι εγκατεστημένη σε μια κατάλληλη συσκευή και να τερματίζει διάφορες διεργασίες. Το νέο κακόβουλο λογισμικό χρησιμοποιεί επίσης και μια μέθοδο fromCharCode() deobfuscation για την απόκρυψη εκτέλεσης κώδικα. Τον περασμένο μήνα, μια νέα έρευνα που δημοσίευσε η Malwarebytes ανέφερε ότι οι επιθέσεις Trojan και backdoor έχουν υπερδιπλασιαστεί από το προηγούμενο έτος. Επίσης, οι επιθέσεις με κατασκοπευτικό λογισμικό έχουν αυξηθεί σε συχνότητα, σημειώνοντας αύξηση κατά 142% για την ίδια περίοδο.
