Бесфайловый троян Astaroth атакует компьютер из его же памяти

Опубликовано at 14:44
110 0

Активизировалась новая модификация трояна Astaroth: злоумышленники загружают похищающий данные вредонос прямо в память компьютера жертвы.

Давно известный специалистам и постоянно обновляемый Astaroth предназначен для кражи конфиденциальной информации. Используя свой модуль кейлоггера, троян фиксирует учетные данные пользователя. Также он способен перехватывать вызовы операционной системы и мониторить буфер обмена.

В настоящей редакции у трояна есть еще одна опасная особенность – использование командной строки Windows для скрытой загрузки и установки в фоне других зловредов.

Для кибератак злоумышленники используют многоступенчатую схему заражения. Все начинается с целевого фишинга – жертве приходит электронное письмо, в котором содержится ссылка, ведущая пользователя на LNK-файл. Этот файл, в свою очередь, запускает инструмент WMIC с параметром «/Format», что позволяет скачать и запустить код JavaScript:

В начале этого года эксперты АКБ подробно разбирали новый (тогда) штамм трояна Astaroth, который использовал легитимные утилиты Windows, компоненты антивируса Avast и систему безопасности GAS Tecnologia для похищения пользовательской информации.

Для запуска своих компонентов вредоносная программа использовала файл aswrundll.exe, который входит в состав антивируса Avast. Это приложение для обработки DLL-объектов, схожее с Windows-утилитой rundll32.exe. Если же Avast не установлен, Astaroth все равно не теряется и выполняет свои модули через служебное приложение regsvr32.exe и отдельные элементы продуктов бразильского разработчика GAS Tecnologia. Таким образом, вся криминальная активность ведется под прикрытием верифицированных процессов и не вызывает подозрений у систем безопасности.

После успешного проникновения на компьютер Astaroth собирает данные, введенные с клавиатуры, перехватывает работу с буфером обмена и сохраняет системные сообщения. Кроме того, троян передает злоумышленникам пароли для входа в Windows, учетные данные для подключения к удаленным компьютерам, сведения об авторизации в электронной почте и другую информацию. Разработчики Avast тогда заявили, что в техническом смысле их продукт не был взломан, киберпреступники «лишь использовали один из его компонентов для запуска своих программ».

Читайте также на АКБ другие актуальные новости про трояны:

…В четверг, 27 июня, специалисты компании eSentire, специализирующейся на кибербезопасности, заявили, что Dridex получил еще одно крупное обновление. Когда эксперты загрузили новый вариант трояна на VirusTotal, его распознали как вредоносную программу лишь 6 из 60 антивирусов. При этом в eSentire сичтают, что авторы Dridex все еще совершенствуют свой троян. Это значит, что скоро сообщество безопасников и простые пользователи могут столкнуться с новыми вариантами вредоноса, возможно уже невидимые ни для одного антивируса.

…Эксперты по кибербезопасности из компании «Доктор Веб» обнаружили трояна-кликера, выдающего себя за полезную программу DynDNS, которая позволяет привязать субдомен к компьютеру, не имеющему статического IP-адреса. При этом выглядит зловред на редкость убедительно (для неспециалиста). Сама по себе малварь не представляет ни большого интереса, ни большой опасности – это обычный кликер для искусственной накрутки посещаемости веб-сайтов. Что представляет интерес – так это метод, который используется злоумышленниками, чтобы установить зловреда на устройства потенциальных жертв. Целевая аудитория трояна – исключительно пользователи программы DynDNS.

…Аналитики «Лаборатории Касперского» составили отчет об активном сейчас Android-трояне Riltok, который охотится за платежными данными пользователей в России, Франции и других европейских странах. Исследователи описывают функционал зловреда, который перехватывает информацию через веб-инжекты, скрывает уведомления от банковских приложений и блокирует антивирусные процессы. На самом деле, Riltok это несколько разных программ, которые объединяют в семейство по принципу наличия библиотеки librealtalk-jni.so. Эта библиотека, вероятно, названная в честь известного мема, обеспечивает обмен данными с управляющим сервером, обновление вредоносных функций и взаимодействие с зараженным устройством. Распространяется троян через SMS: как правило, операторы Riltok маскируют свой троян под приложения сервисов онлайн-объявлений, распространяемые как SMS-спам. Исследователи также находили кампании, в которых зловред притворялся сервисом для поиска авиабилетов и некого магазина Android-приложений.

…К вирусам, маскирующимся под приложения, мы уже начали привыкать, но чтобы целый VPN-сервис оказался подделкой, фейком для известного вируса AZORult? Наводит на мысль, что ЦА такого VPN это российские пользователи, лишенные с недавних пор VPN официально по закону. Однако, как мы увидим дальше, все обстоит ровно наоборот. Двойное дно так называемого Pirate Chick VPN обнаружили два КБ-исследователя, Лоуренс Абрамс и Майкл Гиллеспи (MalwareHunter). Сообщается, что злоумышленники распространяли программу через фейковое обновление Adobe Flash Player и вредоносную рекламу. В последнем случае при переходе по ссылке человек попадал на типичную с виду продающую страницу, где помимо описания утилиты размещались FAQ, политика конфиденциальности и пользовательские соглашения.

…Специалисты по кибербезопасности из Menlo Labs обнаружили активную еще с августа вредоносную кампанию, направленную на сотрудников банков и других финансовых учреждений в США и Великобритании. По словам экспертов, речь о фишинге и попытках заставить пользователей кликнуть по ссылкам, ведущим к файлам .zip или .gz, где их ждет троян для удаленного доступа Houdini. Для заражения атакуемых систем используются два типа полезной нагрузки – сильно обфусцированные скрипты VBS и файлы JAR. Но интересно не это, интересно, что вредоносные ссылки злоумышленников указывают на легитимный сервис Google Cloud Storage (storage.googleapis.com).

Подписываемся, следим @CyberAgency

Related Post

Firefox заблокировал браузерную дактилоскопию

Опубликовано - 01.11.2017 0
Firefox скоро предоставит пользователям систему с повышенным уровнем конфиденциальности, в которой будет заблокировано использование браузерной индентификации, выполняемой через элемент канвас…

«Tesla — это iPad на колесах»: Евгений Лифшиц о предупреждении МЧС про взломы умных автомобилей

Опубликовано - 27.04.2018 0
МЧС неожиданно выпустила предупреждение о хакерах, которые могут удаленно отключать подушки безопасности и перехватывать управление умным автомобилем. Глава Агентства кибербезопасности…