En una publicación en su blog, el equipo de investigación
Nocturnus de Cybereason descubrió una nueva variedad del troyano
Astaroth que infecta los sistemas mediante la explotación de procesos
del software antivirus instalado en él.
Troyano Astaroth
El troyano se está implementando en campañas de spam en Brasil y Europa, donde se dirigió a miles de computadoras a partir de diciembre de 2018. Se propaga a través de enlaces maliciosos y archivos adjuntos .7Zip. Cuando se ejecuta en un sistema, se disfraza como un archivo GIF, JPEG o sin extensión para escapar de la detección.
Si un archivo de mensajes
de phishing o
correos electrónicos no deseados, que contiene el malware, se descarga y
abre; utiliza la herramienta legítima BITSAdmin de Microsoft Windows
para descargar el payload completo desde un servidor de
comando y control (C2).
Una vez que se ha inicializado, el troyano ejecuta
un script XSL para establecer una conexión con el servidor C2. El
script tiene funciones que ayudan al malware a ocultarse del antivirus y
descargar la el payload completo.
La versión anterior del Astaroth lanzó un análisis
para detectar el software antivirus en su computadora
objetivo, y si, en particular, se detecta Avast Antivirus, simplemente se
cierra.
Sin embargo, esta versión modificada de
Astaroth abusa de la biblioteca de enlace dinámico del
software Avast e
inyecta un módulo malicioso en uno de sus procesos. En tal abuso, el
malware se aprovecha al vivir de los LOLbins.
“Al entrar en 2019, anticipamos que el uso de WMIC y
otros LOLbins aumentará. Debido al gran potencial de explotación maliciosa
inherente al uso de LOLbins, es muy probable que muchos otros ladrones de
información adopten este método para enviar su payload en máquinas específicas”, dijeron los investigadores
de seguridad de Cybereason.
Fuente: Fossbytes