一種新的Astaroth***病毒被賦予了利用殺毒軟件和服務中易受***的進程的能力。Cybereason的Nocturnus研究團隊週三在一篇博客文章中表示,這種病毒能夠利用網絡安全軟件中的模塊來竊取在線憑證和個人數據。
Astaroth以其最新的形式出現在巴西和歐洲的垃圾郵件宣傳活動中,截至2018年底,已有數千受害者設備被感染。惡意軟件通過.7zip文件附件和惡意鏈接傳播。***僞裝成JPEG、. gif或無擴展文件,以避免在機器上執行時被發現。
如果垃圾郵件或釣魚消息被成功送達後發揮作用,且相關文件被下載打開,合法的Microsoft Windows BITSAdmin工具則會被用以從命令與控制(C2)服務器下載完整的有效負載。
初始化後,惡意軟件會啓動一個XSL腳本,該腳本與C2服務器建立通道。該腳本經過混淆,包含隱藏自殺毒軟件的功能,並負責利用BITSAdmin從單獨的C2服務器下載有效載荷(包含Astaroth)的過程。
然後,特洛伊***的舊版本變種將啓動掃描以查找殺毒程序(尤其是Avast),如果出現在受感染的系統上,惡意軟件就會退出。但據研究人員的說法,新的Astaroth現在將濫用殺毒程序,將惡意模塊注入其中一個進程。
新版本的Astaroth如果檢測到Avast,則會濫用運行Avast aswrundll.exe模塊的Avast軟件運行時動態鏈接庫。這個可執行文件——類似於Microsoft的rundll32.exe——可以通過調用它們導出的函數來執行dll。這些系統的濫用被稱Lolbin。GAS Tecnologia提供的反欺詐安全程序也以同樣的方式被利用。
2017年,該***首次出現在南美針對個人的***中。這一惡意軟件能夠竊取與目標機器、密碼、密鑰狀態數據和剪貼板上的任何內容有關的信息。
此外,Astaroth還可以進行鍵盤記錄,如果安裝在合適的設備上,可以攔截呼叫,並終止進程。該惡意軟件還利用fromCharCode()去混淆方法隱藏代碼執行,這是對以前版本Astaroth的升級。
隨着2019年的到來,我們預計WMIC和其他lolbin的使用將會增加,”Cybereason說。“由於lolbin的使用本身就具有巨大的惡意利用潛力,其他許多信息竊取者很可能會採用這種方法將其有效負載發送到目標機器上。”
上個月,Malwarebytes發佈的一項新研究表明,***病毒和與後門相關的***在過去一年中增加了一倍多。間諜軟件***的頻率也在增加,同期增加了142%。