Microsoft detecta campaña del troyano fileless Astaroth.



El equipo de investigación ATP de Microsoft Defender ha revelado detalles sobre una campaña de malware en curso que está distribuyendo el malware Astaroth utilizando técnicas fileless y de living-off-the-land que dificultan a los investigadores de seguridad y las soluciones antivirus detectar ataques en curso.

El troyano de malware Astaroth, que ha estado activo desde al menos el 2017, puede robar información confidencial de los usuarios como sus credenciales, pulsaciones de teclas y otros datos, sin dejar caer ningún archivo ejecutable en el disco ni instalar ningún software en la máquina de la víctima. Toda la información se envía a un atacante remoto que puede usar los datos para moverse lateralmente a través de las redes, realizar robos financieros o vender información de la víctima en la clandestinidad cibernética.

Mientras analizaba los datos de telemetría de Windows, Andrea Lelli, un miembro del equipo de Windows Defender ATP, detectó un aumento repentino en el uso de la línea de comandos de Instrumental de administración de Windows (WMIC), una herramienta legítima que se entrega con todas las versiones modernas de Windows. Tras una investigación adicional, quedó claro que la fuente de actividad sospechosa era la campaña que tenía como objetivo ejecutar la puerta trasera de Astaroth directamente en la memoria.

La campaña de malware descubierta utiliza varias técnicas sin vida y un proceso de infección de múltiples etapas que comienza con un correo electrónico de phishing que contiene un enlace malicioso que llevó a las posibles víctimas a un archivo LNK.

Después de hacer doble clic, el archivo LNK provoca la ejecución de la herramienta WMIC con el parámetro “/ Format”, que permite la descarga y ejecución de un código JavaScript. El código JavaScript, a su vez, descarga las cargas útiles al abusar de la herramienta legítima de Bitsadmin.

“Dos de ellos dan como resultado archivos DLL simples (los otros permanecen cifrados). "La herramienta Regsvr32 se usa para cargar una de las DLL descodificadas, que a su vez descifra y carga otros archivos hasta que la carga útil final, Astaroth, se inyecta en el proceso Userinit", explicó el investigador en una entrada de blog.

Lo que esto significa es que el malware no se basa en ningún método tradicional (vulnerabilidades de vulnerabilidad o descargadores de troyanos), sino que utiliza solo herramientas y comandos legítimos del sistema para lograr su objetivo y enmascarar su actividad, una técnica que los expertos en seguridad llaman "vivir de la corriente". Esta técnica permite que el malware se oculte de la mayoría de las soluciones de seguridad antivirus de punto final, que se basan en el análisis de archivos estáticos.

Para las soluciones antivirus tradicionales, centradas en archivos, la única ventana de oportunidad para detectar este ataque puede ser cuando las dos DLL se decodifican después de descargarlas, dijo Lelli. El investigador señaló que:

“Ser invisible puede ayudarte en algunas cosas, pero no debes estar bajo la ilusión de que eres invencible. Lo mismo se aplica al malware sin archivos: el uso indebido de técnicas sin archivos no pone al malware más allá del alcance o la visibilidad del software de seguridad. Por el contrario, algunas de las técnicas sin archivos pueden ser tan inusuales y anómalas que atraen la atención inmediata al malware, de la misma manera que lo haría una bolsa de dinero moviéndose por sí sola ".


Fuente: https://www.cybersecurity-help.cz/blog/612.html