¡Cuidado! Microsoft detectó un aumento en los ataques de malware sin archivos de Astaroth

Astaroth-Fileless-Malware

Los investigadores de seguridad de Microsoft han publicado detalles de una nueva campaña generalizada que distribuye una infame pieza de malware sin archivos que se encontró principalmente dirigida a usuarios europeos y brasileños a principios de este año.

Doblado Astarothel troyano de malware ha estado circulando desde al menos 2017 y está diseñado para robar información confidencial de los usuarios, como sus credenciales, pulsaciones de teclas y otros datos, sin colocar ningún archivo ejecutable en el disco ni instalar ningún software en la máquina de la víctima.

Inicialmente descubierto por investigadores de Cybereason en febrero de este año, Astaroath vivía de la tierra al ejecutar la carga útil directamente en la memoria de una computadora objetivo o al aprovechar las herramientas legítimas del sistema, como WMIC, Certutil, Bitsadmin y Regsvr32, para ejecutar el malicioso. código.

Mientras revisaba los datos de telemetría de Windows, Andrea Lelli, investigadora del equipo de investigación ATP de Microsoft Defender, detectó recientemente un aumento repentino e inusual en el uso de la herramienta de línea de comandos de instrumentación de administración (WMIC), lo que llevó a la revelación de un ataque sin archivos.

Investigaciones posteriores revelaron que los atacantes detrás de esta campaña están distribuyendo malware Astaroth de múltiples etapas a través de correos electrónicos de phishing con un enlace malicioso a un sitio web que aloja un archivo de acceso directo LNK.

Al hacer clic en el archivo de acceso directo, se ejecuta la herramienta WMIC integrada de Windows que descarga y ejecuta un código JavaScript, que abusa aún más de la herramienta Bitsadmin para descargar todas las demás cargas útiles maliciosas que en realidad realizan las tareas maliciosas de robar y cargar los datos de la víctima mientras se disfraza de sistema. proceso.

«Todas las cargas útiles están codificadas en Base64 y decodificadas con la herramienta Certutil. Dos de ellas dan como resultado archivos DLL simples (las otras permanecen encriptadas)», dijo el investigador en una publicación de blog publicada el lunes.

«Luego, la herramienta Regsvr32 se usa para cargar una de las DLL decodificadas, que a su vez descifra y carga otros archivos hasta que la carga útil final, Astaroth, se inyecta en el proceso Userinit».

Esto significa que el malware no se basa en ningún exploit de vulnerabilidad o descargador de troyanos tradicional para descargar nada en el sistema de destino. En su lugar, se basa completamente en las herramientas y los comandos del sistema durante toda su cadena de ataque para hacerse pasar por una actividad normal.

ataques de malware sin archivos

Esta técnica se denomina «vivir de la tierra» y permite que el malware evada la detección de la mayoría de las soluciones de seguridad antivirus de punto final que se basan en el análisis de archivos estáticos.

Las etapas iniciales de acceso y ejecución para instalar silenciosamente el malware Astaroth en los dispositivos de destino se han demostrado en la cadena de ataque que se muestra arriba.

Una vez en el sistema de destino, Astaroth intenta robar información confidencial, como credenciales, pulsaciones de teclas y otros datos, y enviarla a un servidor remoto controlado por los atacantes.

Luego, el atacante puede usar estos datos robados para intentar «moverse lateralmente a través de las redes, llevar a cabo un robo financiero o vender información de la víctima en la clandestinidad ciberdelincuente», dijo el investigador.

Microsoft dijo que las diversas características de su protección de próxima generación Defender ATP podrían detectar tales ataques de malware sin archivos en cada etapa de la infección, mientras que otras soluciones de seguridad centradas en archivos no protegen a sus clientes.

Andrea dijo: «Ser sin archivos no significa ser invisible; ciertamente no significa ser indetectable. No existe el ciberdelito perfecto: incluso el malware sin archivos deja un largo rastro de evidencia».

Para saber más sobre el malware Astaroth, puede dirigirse a la publicación del blog Cybereason publicada en febrero de este año, que detalla en profundidad el funcionamiento del malware y sus capacidades.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática