Любопытную тактику продемонстрировал известный инфостилер Astaroth, который дебютировал два года и с тех пор непрерывно мутирует благодаря усилиям своих создателей.
С 2018 года Astaroth превратился в один из наиболее сложных и скрытных видов вредоносного ПО: инфостилер использует множество антианалитических и антиsandbox механик, что крайне затрудняет как обнаружение малвари, так и изучение ее операций.
Как сообщает Cisco Talos, вирус на днях получил два важных обновления, в частности, Astaroth стал использовать описания каналов на YouTube, чтобы скрывать URL своих управляющих серверов от любопытных глаз.
Происходит это так: после того, как троян заразил машину жертвы, он подключается к специальному каналу на YouTube и обращается к полю описания этого канала. Поле содержит зашифрованный и закодированный base64 текст с URL-адресами управляющих серверов. Расшифровав данные, Astaroth подключается к этим URL-адресам, чтобы получить новые команды от своих операторов и передать им похищенную информацию.
Сама по себе эта тактика не слишком нова, ее уже эксплуатировали авторы малвари Janicab (в 2015 году) и операторы ботнета Stantinko (в 2019 году). Однако в сочетании с другими методами, которые использует Astaroth, это делает зловреда еще более хитрым и опасным.
В прошлом году активизировалась новая модификация трояна Astaroth: злоумышленники загружают похищающий данные вредонос прямо в память компьютера жертвы.
Давно известный специалистам и постоянно обновляемый Astaroth предназначен для кражи конфиденциальной информации. Используя свой модуль кейлоггера, троян фиксирует учетные данные пользователя. Также он способен перехватывать вызовы операционной системы и мониторить буфер обмена.
В этой редакции у трояна есть еще одна опасная особенность – использование командной строки Windows для скрытой загрузки и установки в фоне других зловредов.
Читайте также на АКБ:
Хитрый демон-троян Astaroth крадет данные руками антивируса Avast