- Astaroth vertrouwt nog steeds op e-mailcampagnes voor distributie en het heeft een bestandsloze uitvoering, maar het kreeg ook drie nieuwe grote updates.
- Een daarvan is het nieuwe gebruik van YouTube-kanalen voor C2 waarmee detectie wordt voorkomen door gebruik te maken van een veelgebruikte service op veelgebruikte poorten.
- Het is het belangrijkste moment om je bezig te houden met de beveiliging van je computer. Ga naar onze Cyberbeveiligingssectie meer leren.
- De digitale en technische wereld gaat sneller dan ooit. Lees de laatste verhalen in onze Nieuws Hub.
Astaroth, trojan gespecialiseerd in het stelen van gevoelige informatie, werd vorig jaar ontdekt en tot nu toe is het is uitgegroeid tot een sluipende malware die de bescherming tegen controles diversifieert om te voorkomen dat beveiligingsonderzoekers deze detecteren en stoppen.
Vorig jaar kondigde Microsoft de ontdekking aan van veel lopende malwarecampagnes door het Windows Defender ATP-team. Deze campagnes verspreidden de Astaroth-malware op een bestandsloze manier, wat het nog gevaarlijker maakt.
Over malwarecampagnes gesproken, je kunt ze in de kiem smoren met deze antimalware-tools.
Hier leest u hoe een Microsoft Defender ATP-onderzoeker: beschreef de aanvallen:
Ik was bezig met een standaardbeoordeling van telemetrie toen ik een anomalie opmerkte van een detectiealgoritme dat is ontworpen om een specifieke bestandsloze techniek te vangen. Telemetrie toonde een sterke toename in het gebruik van de Windows Management Instrumentation Command-line (WMIC) tool om een script uit te voeren (een techniek waarnaar MITRE verwijst XSL Script Processing), wat wijst op een bestandsloze aanval
Wat doet Astaroth nu?
In een nieuw rapport Cisco Talos zegt dat Astaroth nog steeds vertrouwt op e-mailcampagnes voor distributie, het heeft een bestandsloze uitvoering en het leeft van het land (LOLbins). Het slechte nieuws is dat het ook drie nieuwe belangrijke updates heeft gekregen, geciteerd uit het Cisco Talos-rapport:
- Astaroth implementeert een robuuste reeks anti-analyse-/ontduikingstechnieken, een van de meest grondige die we de laatste tijd hebben gezien.
- Astaroth is effectief in het ontwijken van detectie en zorgt er met redelijke zekerheid voor dat het alleen wordt geïnstalleerd op systemen in Brazilië en niet op sandbox- en onderzoekerssystemen.
- Nieuw gebruik van YouTube-kanalen voor C2 helpt detectie te omzeilen door gebruik te maken van een veelgebruikte service op veelgebruikte poorten.
Wat is Astaroth en hoe werkt het?
Als je het nog niet wist, Astaroth is een bekende malware gericht op gevoelige informatie stelen zoals inloggegevens en andere persoonlijke gegevens en deze terug te sturen naar de aanvaller.
Hoewel veel Windows 10-gebruikers anti-malware- of antivirussoftware hebben, maakt de bestandsloze techniek de malware moeilijker te detecteren. Hier is het OP-schema over hoe de aanval werkt: 
Een heel interessant ding is dat er geen bestanden, behalve systeemtools, betrokken zijn bij het aanvalsproces. Deze techniek heet leven van het land en het wordt meestal gebruikt om traditionele antivirusoplossingen gemakkelijk te backdoor.
Hoe kan ik mijn systeem tegen deze aanval beschermen?
Zorg er allereerst voor dat uw Windows 10 is up-to-date. Zorg er ook voor dat uw Windows Defender-firewall is in gebruik en heeft de laatste definitie-updates.
Stel jezelf niet bloot aan onnodige risico's. Ontdek waarom Windows Defender de enige malwarebarrière is die u nodig hebt!
Als u een Office 365-gebruiker bent, zult u het volgende graag weten:
Voor deze Astaroth-campagne,Office 365Geavanceerde bescherming tegen bedreigingen (Office 365ATP) detecteert de e-mails met kwaadaardige links die de infectieketen starten.
Gelukkig richt Astaroth zich voornamelijk op Brazilië, en de e-mails die je zou ontvangen zijn in het Portugees. Wees er echter scherp op.
Zoals altijd, voor meer suggesties of vragen, ga naar de opmerkingen hieronder.
