Хитрый демон-троян Astaroth крадет данные руками антивируса Avast

Опубликовано at 13:38
154 0

Новый штамм трояна Astaroth, известного под разными громкими именами исследователям с 2017 года, сумел удивить экспертов. Дело в том, что зловред загребает жар чужими руками, то есть использует легитимные утилиты Windows, компоненты антивируса Avast и систему безопасности GAS Tecnologia для похищения пользовательской информации.

Об этом сообщили специалисты компании Cybereason, которые изучили механизм работы зловреда в ходе атак, нацеленных на пользователей в Бразилии, которые идут еще с сентября 2018 года и все усиливают свой натиск.

Атака Astaroth происходит следующим образом: вы получаете e-mail с упакованным в архив файлом-ярлыком. Его ссылка содержит обфусцированную команду для запуска JS-скрипта на удаленном сервере. Выполнение сценария инициируется при помощи системной утилиты wmic.exe, что затрудняет обнаружение вредоносной активности защитными сканерами. Используя тот же инструмент, вредоносное ПО собирает сведения о геолокации инфицированной машины и передает их злоумышленникам.

Далее в ходе атаки Astaroth получает полезную нагрузку с другого командного сервера. С этой целью JS-сценарий трояна задействует легитимную программу BITSAdmin, предназначенную для загрузки обновлений Windows. Зловред доставляет на компьютер двенадцать файлов, замаскированных под изображения JPG и GIF, или же вообще не имеющих расширения. Все эти загадочные файлы-диверсанты предназначены для сбора системной информации, а также кражи логинов и паролей.

Для запуска своих компонентов вредоносная программа использует файл aswrundll.exe, который входит в состав антивируса Avast. Это приложение для обработки DLL-объектов, схожее с Windows-утилитой rundll32.exe. Если же Avast не установлен, Astaroth все равно не теряется и выполняет свои модули через служебное приложение regsvr32.exe и отдельные элементы продуктов бразильского разработчика GAS Tecnologia. Таким образом, вся криминальная активность ведется под прикрытием верифицированных процессов и не вызывает подозрений у систем безопасности.

После успешного проникновения на компьютер Astaroth собирает данные, введенные с клавиатуры, перехватывает работу с буфером обмена и сохраняет системные сообщения. Кроме того, троян передает злоумышленникам пароли для входа в Windows, учетные данные для подключения к удаленным компьютерам, сведения об авторизации в электронной почте и другую информацию.

Разработчики Avast уже заявили, что в техническом смысле их продукт не был взломан, киберпреступники лишь использовали один из его компонентов для запуска своих программ. Вирус, который целиком запускается через легитимные файлы, это что-то новенькое. Хотя киберпреступники и ранее использовали BITSAdmin в атаках на уязвимые компьютеры, например, прошлым летом системную утилиту Windows применяли авторы турецкого RAT-зловреда Adwind для запуска макроса DDE из вредоносного файла Excel, вложенного в электронное письмо.

Читайте также на АКБ про другие занимательные трояны последнего времени:

Новая версия трояна RogueRobin управляется через Google Диск

Фокус-покус: троян Houdini распространяют через доверенное облако Google

Троян-кликер выдает себя за программу DynDNS: обманулись тысячи юзеров

Подписываемся, следим @CyberAgency

Related Post

Авиаиндустрия потратила в 2018 году $3,9 млрд на кибербезопасность – это много или катастрофически мало?

Опубликовано - 29.11.2018 0
Все авиакомпании и аэропорты мира в 2018 году инвестировали в сферу кибербезопасности $3,9 млрд, сообщается в отчете SITA, швейцарской многонациональной…

Добавить комментарий