El ataque de malware 'Gran Duque del Infierno' DLL descubre la amenaza maliciosa sin archivos de Astaroth

Microsoft recientemente levantó el velo sobre cómo un malware sin archivos muy desagradable que funciona para robar datos sin tener que ser instalado en la máquina de una víctima: Astaroth .

El nombre de un demonio del mismo nombre directamente de los libros ocultos Ars Goetia y The Key of Solomon, que se dice que seduce a sus víctimas a través de la vanidad y la pereza, este malware ha estado en circulación desde 2017. Fue utilizado principalmente para robar datos de empresas sudamericanas y europeas en ataques dirigidos que utilizaron el spear phishing como punto de entrada.

Hay algo que hace que esta infección específica sea única, según el investigador de Microsoft Defender APT, Andrea Lelli, ya que tiene la capacidad de infiltrarse sigilosamente bajo los métodos de detección de algunos programas antivirus tradicionales.

Según Lelli, Astaroth es conocido por el robo de información de credenciales personales, registro de teclas y más, datos que luego se extraen a un servidor remoto. Los atacantes luego usan los datos para el robo financiero, venden información personal a otros delincuentes o incluso se mueven lateralmente a través de las redes.

Cómo Astaroth infecta los sistemas

El ataque generalmente comienza cuando una víctima abre un enlace dentro de los correos electrónicos hechos con la suplantación de identidad (spear phishing), una herramienta de ingeniería social que los atacantes usan como parte de sus operaciones. Este tipo de estafa tiene como objetivo abrir el enlace, que abre un archivo de acceso directo a los comandos del terminal que terminan descargando y ejecutando el código JavaScript que hace posible la infección. El script descarga y ejecuta dos archivos DLL que manejan el registro y la carga de la información recolectada, todo mientras simula ser procesos legítimos del sistema.

El procedimiento funciona bien contra las herramientas de detección basadas en firmas, ya que solo se descargan o instalan los archivos DLL. Esto hace que haya pocas posibilidades de escanear y detectar el ataque en el proceso. Este enfoque permitió a Astaroth volar por debajo del radar y prosperar en línea desde los últimos días de 2017 sin la dependencia habitual de los descargadores de troyanos o cualquier vulnerabilidad de vulnerabilidad.

Medidas de detección de malware sin archivos

Según Lelli, las soluciones antivirus tradicionales centradas en archivos tienen solo una oportunidad para detectar el ataque: durante la descarga de los dos archivos DLL, ya que el ejecutable utilizado en el ataque se considera no malicioso. Las DLL utilizan la ofuscación de código y varían entre campañas, lo que significa que centrarse en la detección de esos dos sería una trampa viciosa, agregó Lelli.

Microsoft y otros proveedores tuvieron que confiar en herramientas de detección heurísticas, como las que vigilan de cerca el uso del código de línea de comandos de WMIC, aplicando las reglas cuando se produce una carga de archivos DLL. La comprobación de la antigüedad del archivo, el bloqueo de la ejecución de archivos DLL recién creados y tácticas similares permite que las herramientas de seguridad más recientes se pongan al día con el malware sin archivos.