Троян Astaroth использует для атаки описания видео на YouTube

Опубликовано at 17:54
54 0

Любопытную тактику продемонстрировал известный инфостилер Astaroth, который дебютировал два года и с тех пор непрерывно мутирует благодаря усилиям своих создателей.

С 2018 года Astaroth ­превратился в один из наиболее сложных и скрытных видов вредоносного ПО: инфостилер использует множество антианалитических и антиsandbox механик, что крайне затрудняет как обнаружение малвари, так и изучение ее операций.

Как сообщает Cisco Talos, вирус на днях получил два важных обновления, в частности, Astaroth стал использовать описания каналов на YouTube, чтобы скрывать URL своих управляющих серверов от любопытных глаз.

Происходит это так: после того, как троян заразил машину жертвы, он подключается к специальному каналу на YouTube и обращается к полю описания этого канала. Поле содержит зашифрованный и закодированный base64 текст с URL-адресами управляющих серверов. Расшифровав данные, Astaroth подключается к этим URL-адресам, чтобы получить новые команды от своих операторов и передать им похищенную ­информацию.

Сама по себе эта тактика не слишком нова, ее уже эксплуатировали авторы малвари Janicab (в 2015 году) и операторы ботнета Stantinko (в 2019 году). Однако в сочетании с другими методами, которые использует Astaroth, это делает зловреда еще более хитрым и опасным.

В прошлом году активизировалась новая модификация трояна Astaroth: злоумышленники загружают похищающий данные вредонос прямо в память компьютера жертвы.

Давно известный специалистам и постоянно обновляемый Astaroth предназначен для кражи конфиденциальной информации. Используя свой модуль кейлоггера, троян фиксирует учетные данные пользователя. Также он способен перехватывать вызовы операционной системы и мониторить буфер обмена.

В этой редакции у трояна есть еще одна опасная особенность – использование командной строки Windows для скрытой загрузки и установки в фоне других зловредов.

Читайте также на АКБ:

Хитрый демон-троян Astaroth крадет данные руками антивируса Avast

Подписываемся, следим @CyberAgency

Related Post

Хакнуть мозг напрямую: нейростимуляторы уязвимы и без команды Ди Каприо

Опубликовано - 30.10.2018 0
Новое совместное исследование «Лаборатории Касперского» и группы функциональной нейрохирургии Оксфордского университета (University of Oxford Functional Neurosurgery Group) будоражит воображение. Формально…