- Astaroth er fortsatt avhengig av e-postkampanjer for distribusjon, og den har en fileløs kjøring, men den fikk også tre nye store oppdateringer.
- En av dem er den nye bruken av YouTube-kanaler for C2, som hjelper med å unngå gjenkjenning ved å utnytte en ofte brukt tjeneste på ofte brukte porter.
- Det er det viktigste øyeblikket å være opptatt av datamaskinens sikkerhet. Gå over til vårt Seksjon om cybersikkerhet å lære mer.
- Den digitale og teknologiske verden beveger seg raskere enn noensinne. Les de siste historiene i vår Nyhetsnav.
Astaroth, trojan som spesialiserte seg på å stjele sensitiv informasjon ble oppdaget i fjor, og inntil nå, den har utviklet seg til en topp skjult malware, som diversifiserer beskyttelsen mot kontroller for å forhindre sikkerhetsforskere i å oppdage og stoppe den.
I fjor kunngjorde Microsoft oppdagelsen av mange pågående malware-kampanjer av Windows Defender ATP-teamet. Disse kampanjene distribuerte Astaroth-skadelig programvare på en fileløs måte, noe som gjør den enda farligere.
Når vi snakker om skadelige kampanjer, kan du nippe dem i knoppen med disse verktøyene mot skadelig programvare.
Her er hvordan en Microsoft Defender ATP-forsker beskrev angrepene:
Jeg gjorde en standard gjennomgang av telemetri da jeg la merke til en avvik fra en deteksjonsalgoritme designet for å fange en spesifikk fileløs teknikk. Telemetri viste en kraftig økning i bruken av Windows Management Instrumentation Command-line (WMIC) verktøy for å kjøre et skript (en teknikk som MITER refererer til XSL Script Processing), som indikerer et fileløst angrep
Hva er det med Astaroth nå?
I en ny rapport, Cisco Talos sier at Astaroth fortsatt er avhengig av e-postkampanjer for distribusjon, den har en fileløs kjøring, og den lever av landet (LOLbins). Den dårlige nyheten er at den også fikk tre nye store oppdateringer sitert fra Cisco Talos-rapporten:
- Astaroth implementerer en robust serie med anti-analyse / unndragelsesteknikker, blant de mest grundige vi har sett nylig.
- Astaroth er effektiv til å unngå deteksjon og med rimelig sikkerhet sikre at den bare blir installert på systemer i Brasil og ikke på sandkasser og forskersystemer.
- Ny bruk av YouTube-kanaler for C2 hjelper med å unngå gjenkjenning ved å utnytte en ofte brukt tjeneste på ofte brukte porter.
Hva er Astaroth og hvordan det fungerer?
Hvis du ikke visste det, er Astaroth en kjent skadelig programvare som fokuserer på stjele sensitiv informasjon som legitimasjon og andre personlige data og sende dem tilbake til angriperen.
Selv om mange Windows 10-brukere har en antiprogramvare eller antivirusprogramvare, gjør fileløs teknikk malware vanskeligere å oppdage. Her er OP-ordningen for hvordan angrepet fungerer: 
En veldig interessant ting er at ingen filer, bortsett fra systemverktøy, er involvert i angrepsprosessen. Denne teknikken kalles lever av landet og det brukes vanligvis til å bakdør tradisjonelle antivirusløsninger.
Hvordan kan jeg beskytte systemet mitt mot dette angrepet?
Først av alt, sørg for at din Windows 10 er oppdatert. Sørg også for at din Windows Defender-brannmur er i gang og har de siste definisjonsoppdateringene.
Ikke utsett deg for unødvendige risikoer. Finn ut hvorfor Windows Defender er den eneste malwarebarrieren du trenger!
Hvis du er Office 365-bruker, vil du gjerne vite at:
For denne Astaroth-kampanjen,Office 365Avansert trusselsbeskyttelse (Office 365ATP) oppdager e-postmeldinger med ondsinnede lenker som starter infeksjonskjeden.
Heldigvis retter Astaroth seg mot hovedsakelig Brasil, og e-postene du vil motta er i Portughese. Vær imidlertid på tærne når det gjelder det.
Som alltid, for flere forslag eller spørsmål, gå til kommentarfeltet nedenfor.
