Astaroth, un cheval de Troie spécialisé dans le vol d'informations sensibles a été découvert l'année dernière et jusqu'à présent, il est devenu un malware furtif de premier plan, diversifiant sa protection contre les contrôles pour empêcher les chercheurs en sécurité de le détecter et de l'arrêter..
L'année dernière, Microsoft a annoncé la découverte de nombreuses campagnes de malwares en cours par l'équipe Windows Defender ATP. Ces campagnes ont distribué le malware Astaroth sans fichier, ce qui le rend encore plus dangereux.
En parlant de campagnes de logiciels malveillants, vous pouvez les étouffer dans l'œuf avec ces outils anti-programme malveillant.
Voici comment un chercheur de Microsoft Defender ATP a décrit les attaques:
Je faisais un examen standard de la télémétrie lorsque j'ai remarqué une anomalie d'un algorithme de détection conçu pour attraper une technique sans fichier spécifique. La télémétrie a montré une forte augmentation de l'utilisation de l'outil de ligne de commande Windows Management Instrumentation (WMIC) pour exécuter un script (une technique que MITRE fait référence au traitement de script XSL), indiquant une attaque sans fichier
Que fait Astaroth jusqu'à présent?
Dans un nouveau rapport, Cisco Talos dit qu'Astaroth s'appuie toujours sur des campagnes par courrier électronique pour la distribution, qu'il a une exécution sans fichier et qu'il vit de la terre (LOLbins). La mauvaise nouvelle est qu'il a également obtenu trois nouvelles mises à jour majeures citées dans le rapport Cisco Talos:
- Astaroth met en œuvre une série robuste de techniques anti-analyse / évasion, parmi les plus approfondies que nous ayons vues récemment.
- Astaroth est efficace pour éviter la détection et garantir, avec une certitude raisonnable, qu'il n'est installé que sur des systèmes au Brésil et non sur des bacs à sable et des systèmes de recherche..
- Une nouvelle utilisation des chaînes YouTube pour C2 permet d'éviter la détection, en tirant parti d'un service couramment utilisé sur les ports couramment utilisés.
Qu'est-ce qu'Astaroth et comment ça marche?
Si vous ne le saviez pas, Astaroth est un malware bien connu qui se concentre sur le vol d'informations sensibles telles que les informations d'identification et autres données personnelles et de les renvoyer à l'attaquant..
Bien que de nombreux utilisateurs de Windows 10 disposent d'un logiciel anti-malware ou antivirus, la technique sans fichier rend le malware plus difficile à détecter. Voici le schéma des OP sur le fonctionnement de l'attaque:
Une chose très intéressante est qu'aucun fichier, à l'exception des outils système, n'est impliqué dans le processus d'attaque. Cette technique s'appelle vivre de la terre et il est généralement utilisé pour détourner facilement les solutions antivirus traditionnelles.
Comment puis-je protéger mon système contre cette attaque?
Tout d'abord, assurez-vous que votre Windows 10 est à jour. Assurez-vous également que votre pare-feu Windows Defender est opérationnel et qu'il dispose des dernières mises à jour de définition..
Ne vous exposez pas à des risques inutiles. Découvrez pourquoi Windows Defender est la seule barrière contre les logiciels malveillants dont vous avez besoin!
Si vous êtes un utilisateur d'Office 365, vous serez heureux de savoir que:
Pour cette campagne Astaroth, Office 365Advanced Threat Protection (Office 365ATP) détecte les e-mails avec des liens malveillants qui démarrent la chaîne d'infection.
Heureusement, Astaroth cible principalement le Brésil, et les e-mails que vous recevriez sont en portugais. Cependant, soyez sur vos gardes à ce sujet.
Comme toujours, pour plus de suggestions ou de questions, accédez à la section commentaires ci-dessous.
Note de l'éditeur: Cet article a été initialement publié en juillet 2019 et a depuis été remanié et mis à jour en mai 2020 pour plus de fraîcheur, d'exactitude et d'exhaustivité..
- La cyber-sécurité
- malware