09 jul

Microsoft alerta para nova campanha propagando o trojan Astaroth

A Microsoft alertou nesta semana para uma nova campanha que está propagando o trojan Astaroth, que é injetado na memória dos computadores.

De acordo com a Microsoft Defender ATP Research Team, o Astaroth é um malware especializado no roubo de informações e inclui módulos como um keylogger, interceptador de chamadas do sistema operacional e monitor da área de transferência.

O trojan também é conhecido por abusar de “living-off-the-land binaries” (LOLbins) como a interface Windows Management Instrumentation Command-line (WMIC) para baixar e instalar malwares sem que o usuário perceba.

Microsoft alerta para nova campanha propagando o trojan Astaroth

Esta nova campanha usa diversas técnicas do tipo “fileless” e um processo de infecção composto por múltiplos estágios que começa com um email malicioso contendo um link para um arquivo LNK.

Ao clicar neste arquivo, ele causa a execução da interface WMIC com o parâmetro “/Format“, que permite o download e execução de código JavaScript. Este código por sua vez faz o download da carga maliciosa abusando da ferramenta Bitsadmin.

A carga maliciosa baixada em segundo plano é codificada em Base64 e é decodificada no computador comprometido usando a ferramenta legítima Certutil na forma de quatro arquivos DLL que serão carregados com a ajuda da ferramenta Regsvr32.

O arquivo DLL carregado será usado para carregar um segundo arquivo DLL na memória, que carregará um terceiro arquivo DLL criado para descriptografar e injetar outro arquivo DLL no Userinit.exe.

Este quarto arquivo DLL agirá como um proxy que carregará um quinto DLL na memória usando a técnica conhecida como “Process Hollowing”.

Este quinto DLL é o próprio trojan Astaroth, que coletará diversas informações do computado da vítima e as enviará para um servidor de comando e controle.

O diagrama abaixo criado pela Microsoft mostra o complexo processo de infecção:

Em seu post a Microsoft confirmou que o Microsoft Defender Advanced Tthreat Protection, sua solução de segurança para o mercado corporativo, foi capaz de detectar e bloquear o processo de infecção.

Mais detalhes podem ser encontrados aqui.