'Gran Duque del Infierno' DLL Ataque de Malware descubre la amenaza de Malware sin archivos de Astaroth
Microsoft levantó recientemente el velo sobre cómo un malware sin archivos muy desagradable que funciona para robar datos sin tener que ser instalado en la máquina de una víctima: Astaroth .
Nombrado en honor a un demonio del mismo nombre que proviene de los libros ocultos Ars Goetia y The Key of Solomon, se dice que para seducir a sus víctimas a través de la vanidad y la pereza, este malware ha estado en circulación desde 2017. Se utilizó principalmente para robar datos de compañías sudamericanas y europeas en ataques dirigidos que utilizaron el spishing phishing como punto de entrada.
Hay algo que hace que esta infección específica sea única, según el investigador Andrea Lelli de Microsoft Defender APT, ya que tiene la capacidad de infiltrarse sigilosamente bajo los métodos de detección de algunos programas antivirus tradicionales.
Según Lelli, Astaroth es conocido por el robo de información de credenciales personales, registro de teclas y más, datos que luego se filtran a un servidor remoto. Luego, los atacantes usan los datos para robar dinero, vender información personal a otros delincuentes o incluso moverse lateralmente a través de las redes.
Tabla de contenido
Cómo Astaroth infecta los sistemas
El ataque generalmente comienza cuando una víctima abre un enlace dentro de los correos electrónicos realizados con spear-phishing en mente, una herramienta de ingeniería social que los atacantes usan como parte de sus operaciones. Este tipo de estafa tiene como objetivo abrir el enlace, que abre un archivo de acceso directo a los comandos de la terminal que terminan descargando y ejecutando el código JavaScript que hace posible la infección. La secuencia de comandos descarga y ejecuta dos archivos DLL que manejan el registro y la carga de la información recolectada, mientras que simulan ser procesos legítimos del sistema.
El procedimiento funciona bien contra las herramientas de detección basadas en firmas, ya que solo se descargan o instalan los archivos DLL. Esto hace que haya pocas posibilidades de escanear y atrapar el ataque en el proceso. Este enfoque permitió a Astaroth volar bajo el radar y prosperar en línea desde los últimos días de 2017 sin la dependencia habitual de los descargadores de troyanos o cualquier vulnerabilidad de vulnerabilidad.
Medidas de detección de malware sin archivos
Según Lelli, las soluciones antivirus tradicionales centradas en archivos solo tienen una posibilidad de detectar el ataque: durante la descarga de los dos archivos DLL, ya que el ejecutable utilizado en el ataque se considera no malicioso. Los archivos DLL utilizan ofuscación de código y varían entre campañas, lo que significa que centrarse en la detección de esos dos sería "una trampa viciosa", agregó Lelli.
Microsoft y otros proveedores tuvieron que confiar en las herramientas de detección heurística, como aquellos que vigilan estrechamente el uso del código de línea de comando de WMIC, aplicando las reglas cuando ocurre cualquier carga de archivos DLL. La verificación de la antigüedad del archivo, el bloqueo de las DLL recién creadas y la utilización de tácticas similares permite que las herramientas de seguridad más nuevas puedan detectar el malware sin archivos.
'Gran Duque del Infierno' DLL Ataque de Malware descubre la amenaza de Malware sin archivos de Astaroth capturas de pantalla
