- Astaroth luottaa edelleen sähköpostikampanjoihin jakelussaan, ja se on tiedostoton, mutta se sai myös kolme uutta suurta päivitystä.
- Yksi niistä on YouTube-kanavien uusi käyttö C2: lle, joka auttaa välttämään havaitsemista hyödyntämällä yleisesti käytettyä palvelua yleisesti käytetyissä portteissa.
- Se on tärkein hetki olla huolissaan tietokoneen turvallisuudesta. Suuntaa meidän Kyberturvallisuus-osio oppia lisää.
- Digitaalinen ja tekninen maailma liikkuu nopeammin kuin koskaan. Lue viimeisimmät tarinat meidän News Hub.
Arkaluontoisten tietojen varastamiseen erikoistunut troijalainen Astaroth löydettiin viime vuonna ja tähän asti on kehittynyt huippuvarkaaksi haittaohjelmaksi, joka monipuolistaa suojaa tarkastuksilta estääkseen turvallisuustutkijoita havaitsemasta ja pysäyttämästä sitä.
Viime vuonna Microsoft ilmoitti löytäneensä useita käynnissä olevia haittaohjelmakampanjoita Windows Defender ATP -tiimiltä. Nämä kampanjat levittivät Astaroth-haittaohjelmia tiedostottomalla tavalla, mikä tekee siitä vielä vaarallisemman.
Haittaohjelmakampanjoista puhuen voit niputtaa ne alkuunsa nämä haittaohjelmien torjuntatyökalut.
Näin Microsoft Defenderin ATP-tutkija kuvasi hyökkäyksiä:
Tein tavanomaisen telemetrian tarkistuksen, kun huomasin poikkeaman havaitsemisalgoritmista, joka oli suunniteltu tarttumaan tiettyyn tiedostotonta tekniikkaa. Telemetria osoitti, että Windows Management Instrumentation Command-line (WMIC) -työkalun käyttö komentojonon (tekniikka, johon MITER viittaa) käyttö XSL-komentosarjojen käsittely), mikä tarkoittaa tiedostotonta hyökkäystä
Mitä Astaroth on tähän mennessä?
Uudessa raportissa Cisco Talos sanoo, että Astaroth luottaa edelleen sähköpostikampanjoihin jakelussa, se on tiedostoton ja se asuu maan ulkopuolella (LOLbins). Huono uutinen on, että se sai myös kolme uutta suurta päivitystä, jotka on mainittu Cisco Talos -raportissa:
- Astaroth toteuttaa vankan sarjan anti-analyysi- / veronkierrostekniikoita, viimeisimpien joukossa.
- Astaroth on tehokas keino välttää havaitsemista ja varmistaa kohtuullisella varmuudella, että se asennetaan vain Brasilian järjestelmiin eikä hiekkalaatikoihin ja tutkijoiden järjestelmiin.
- YouTube-kanavien uusi käyttö C2-koodiin auttaa välttämään havaitsemista hyödyntämällä yleisesti käytettyä palvelua yleisesti käytetyissä satamissa.
Mikä on Astaroth ja miten se toimii?
Jos et tiennyt, Astaroth on tunnettu haittaohjelma, johon on keskittynyt arkaluonteisten tietojen varastaminen kuten tunnistetiedot ja muut henkilötiedot ja lähettämällä ne takaisin hyökkääjälle.
Vaikka monilla Windows 10 -käyttäjillä on haitta- tai virustorjuntaohjelmisto, tiedostoton tekniikka tekee haittaohjelmasta vaikeamman havaita. Tässä on toimenpideohjelma hyökkäyksen toiminnasta: 
Erittäin mielenkiintoinen asia on, että mikään tiedostot, lukuun ottamatta järjestelmätyökaluja, eivät ole mukana hyökkäysprosessissa. Tätä tekniikkaa kutsutaan asuu maan ulkopuolella ja sitä käytetään yleensä perinteisten virustentorjuntaratkaisujen takaoviin.
Kuinka voin suojata järjestelmääni tätä hyökkäystä vastaan?
Ensinnäkin varmista, että Windows 10 on ajan tasalla. Varmista myös, että Windows Defenderin palomuuri on käynnissä ja sillä on uusimmat määritelmäpäivitykset.
Älä altista itseäsi turhille riskeille. Ota selvää, miksi Windows Defender on ainoa tarvitsemasi haittaohjelmien este!
Jos olet Office 365 -käyttäjä, tiedät mielellämme, että:
Tähän Astaroth-kampanjaanOffice 365Edistynyt uhkasuojaus (Office 365ATP) tunnistaa haitallisten linkkien sisältämät sähköpostit, jotka käynnistävät tartuntaketjun.
Onneksi Astaroth kohdistaa lähinnä Brasiliaan, ja saamasi sähköpostit ovat portugaliksi. Ole kuitenkin varpaillasi siitä.
Kuten aina, lisää ehdotuksia tai kysymyksiä varten etsi alla oleva kommenttiosio.
