Awas! Microsoft Spike Spike dalam Serangan Malware Astaroth Fileless - Otak Kita

Awas! Microsoft Spike Spike dalam Serangan Malware Astaroth Fileless



Otak Kita - Peneliti keamanan di Microsoft telah merilis rincian dari kampanye baru yang menyebar luas mendistribusikan sepotong malware fileless terkenal yang terutama ditemukan menargetkan pengguna Eropa dan Brasil awal tahun ini.

Dijuluki Astaroth , trojan malware telah melakukan putaran sejak setidaknya 2017 dan dirancang untuk mencuri informasi sensitif pengguna seperti kredensial, penekanan tombol, dan data lainnya, tanpa menjatuhkan file yang dapat dieksekusi pada disk atau menginstal perangkat lunak apa pun pada mesin korban.

Awalnya ditemukan oleh para peneliti di Cybereason pada bulan Februari tahun ini, Astaroath hidup dari tanah dengan menjalankan muatan langsung ke memori komputer yang ditargetkan atau dengan memanfaatkan alat sistem yang sah, seperti WMIC, Certutil, Bitsadmin, dan Regsvr32, untuk menjalankan program jahat. kode.

Saat meninjau data telemetri Windows, Andrea Lelli, seorang peneliti di Microsoft Defender ATP Research Team, baru-baru ini melihat lonjakan yang tidak biasa tiba-tiba dalam penggunaan alat Command Instrumentation Command-line (WMIC), yang mengarah pada pengungkapan serangan fileless .

Penyelidikan lebih lanjut mengungkapkan bahwa para penyerang di balik kampanye ini mendistribusikan malware Astaroth multi-tahap melalui email spear-phishing dengan tautan jahat ke situs web yang menyimpan file pintas LNK.

Mengklik file pintas mengeksekusi alat WMIC bawaan Windows yang mengunduh dan mengeksekusi kode JavaScript, yang selanjutnya menyalahgunakan alat Bitsadmin untuk mengunduh semua muatan berbahaya lainnya yang benar-benar melakukan tugas jahat mencuri dan mengunggah data korban sambil menyamar sebagai sistem. proses.

    "Semua muatan adalah Base64-disandikan dan didekodekan menggunakan alat Certutil. Dua di antaranya menghasilkan file DLL biasa (yang lain tetap dienkripsi)," kata peneliti dalam posting blog yang diterbitkan Senin.
    "Alat Regsvr32 kemudian digunakan untuk memuat salah satu DLL yang didekode, yang pada gilirannya mendekripsi dan memuat file lain sampai muatan terakhir, Astaroth, disuntikkan ke dalam proses Userinit." 


Ini berarti bahwa malware tidak bergantung pada eksploitasi kerentanan atau pengunduh trojan tradisional untuk mengunduh apa pun di sistem yang ditargetkan. Sebaliknya, ia sepenuhnya bergantung pada alat sistem dan perintah selama seluruh rantai serangannya untuk menyamar sebagai kegiatan biasa.



Teknik ini disebut "hidup dari tanah" dan memungkinkan malware menghindari deteksi dari sebagian besar solusi keamanan antivirus titik akhir yang didasarkan pada analisis file statis.

Tahap akses dan eksekusi awal untuk menginstal secara diam-diam malware Astaroth pada perangkat target telah ditunjukkan dalam rantai serangan yang ditunjukkan di atas.

Setelah berada di sistem yang ditargetkan, Astaroth mencoba mencuri informasi sensitif seperti kredensial, penekanan tombol, dan data lainnya, dan mengirimkannya ke server jarak jauh yang dikendalikan oleh para penyerang.

Penyerang kemudian dapat menggunakan data curian ini untuk mencoba "bergerak menyamping melintasi jaringan, melakukan pencurian finansial, atau menjual informasi korban di bawah tanah cybercriminal," kata peneliti.

Microsoft mengatakan berbagai fitur perlindungan Defender ATP generasi berikutnya dapat mendeteksi serangan malware tanpa fileless pada setiap tahap infeksi, sementara solusi keamanan file-sentris lainnya gagal melindungi pelanggan mereka.

Andrea berkata: "menjadi fileless tidak berarti menjadi tidak terlihat; itu pasti tidak berarti menjadi tidak terdeteksi. Tidak ada yang namanya kejahatan cyber yang sempurna: bahkan malware fileless meninggalkan jejak bukti yang panjang."

Untuk mengetahui lebih lanjut tentang malware Astaroth, Anda dapat mengunjungi posting blog Cybereason yang diterbitkan pada bulan Februari tahun ini, dengan perincian mendalam tentang cara kerja malware dan kemampuannya.

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel