miércoles, 13 de febrero de 2019

Este troyano roba credenciales mediante la explotación del antivirus

En una publicación en su blog , el equipo de investigación Nocturnus de Cybereason ha descubierto una nueva variedad del troyano Astaroth que infecta los sistemas mediante la explotación de procesos del software antivirus instalado en él.



El troyano se está implementando en campañas de spam en Brasil y Europa, donde se dirigió a miles de computadoras a partir de diciembre de 2018. Se propaga a través de enlaces maliciosos y archivos adjuntos .7Zip. Cuando se ejecuta en un sistema, se disfraza como un archivo GIF, JPEG o sin extensión para escapar de la detección.


Si un archivo de mensajes de phishing o correos electrónicos no deseados, que contiene el malware, se descarga y abre; utiliza la herramienta legítima BITSAdmin de Microsoft Windows para descargar el payload completo desde un servidor de comando y control (C2).
troyano astaroth
Una vez que se ha inicializado, el troyano ejecuta un script XSL para establecer una conexión con el servidor C2. El script tiene funciones que ayudan al malware a ocultarse del antivirus y descargar la el payload completo.

La versión anterior del Astaroth lanzó un análisis para detectar el software antivirus en su computadora objetivo, y si, en particular, se detecta Avast Antivirus, simplemente se cierra.
Sin embargo, esta versión modificada de Astaroth abusa de la biblioteca de enlace dinámico del software Avast e inyecta un módulo malicioso en uno de sus procesos. En tal abuso, el malware se aprovecha al vivir de los LOLbins.

“Al entrar en 2019, anticipamos que el uso de WMIC y otros LOLbins aumentará. Debido al gran potencial de explotación maliciosa inherente al uso de LOLbins, es muy probable que muchos otros ladrones de información adopten este método para enviar su payload en máquinas específicas”, dijeron los investigadores de seguridad de Cybereason.

Fuente: Fossbytes

No hay comentarios.:

Publicar un comentario

Tu opinión es importante para mí, porque me ayuda a mejorar. Si te gustó el articulo o tienes alguna sugerencia, déjame tu comentario con tu nombre para poder responderte tan pronto como pueda.