ASTAROTH крадёт данные с помощью утилит антивирусов и ОС

ASTAROTH КРАДЕТ ДАННЫЕ С ПОМОЩЬЮ УТИЛИТ АНТИВИРУСОВ И ОС

Новый штамм трояна Astaroth использует легитимные утилиты Windows, компоненты антивируса Avast и систему безопасности GAS Tecnologia для похищения пользовательской информации. Об этом сообщили специалисты компании Cybereason, которые изучили механизм работы зловреда в ходе атак, нацеленных на пользователей в Бразилии.

Атака начинается с электронного письма с упакованным в архив файлом-ярлыком. Его ссылка содержит обфусцированную команду для запуска JS-скрипта на удаленном сервере. Выполнение сценария инициируется при помощи системной утилиты wmic.exe, что затрудняет обнаружение вредоносной активности защитными сканерами. Используя тот же инструмент, вредоносное ПО собирает сведения о геолокации инфицированной машины и передает их злоумышленникам.

На втором этапе атаки Astaroth получает полезную нагрузку с другого командного сервера. С этой целью JS-сценарий трояна задействует легитимную программу BITSAdmin, предназначенную для загрузки обновлений Windows. Зловред доставляет на компьютер двенадцать файлов, замаскированных под изображения JPG и GIF, или же вообще не имеющих расширения. Все они предназначены для сбора системной информации, а также кражи логинов и паролей.
42848
Для запуска своих компонентов вредоносная программа использует файл aswrundll.exe, который входит в состав антивируса Avast. Это приложение для обработки DLL-объектов, схожее с Windows-утилитой rundll32.exe. Если Avast не установлен, Astaroth выполняет свои модули через служебное приложение regsvr32.exe и отдельные элементы продуктов бразильского разработчика GAS Tecnologia. Таким образом криминальная активность ведется под прикрытием верифицированных процессов и не вызывает подозрений у систем безопасности.

После успешного проникновения на компьютер Astaroth собирает данные, введенные с клавиатуры, перехватывает работу с буфером обмена и сохраняет системные сообщения. Кроме того, троян передает злоумышленникам пароли для входа в Windows, учетные данные для подключения к удаленным компьютерам, сведения об авторизации в электронной почте и другую информацию.

Разработчики Avast заявили, что их продукт не был взломан, киберпреступники лишь использовали один из его компонентов для запуска своих программ. По мнению создателей антивируса, это связано с популярностью сканера безопасности в Бразилии. Вендор обещал принять меры для предотвращения несанкционированного запуска входящих в состав программы файлов и отметили, что новый релиз Astaroth уже детектируется их системой.

Киберпреступники и ранее использовали BITSAdmin в атаках на уязвимые компьютеры. Системную утилиту Windows, к примеру, применяли авторы RAT-зловреда Adwind для запуска макроса DDE из вредоносного файла Excel, вложенного в электронное письмо. Эту кампанию, нацеленную на турецких пользователей, ИБ-специалисты зафиксировали в августе-сентябре прошлого года.
 
Последнее редактирование:
Назад
Сверху Снизу