O Astaroth está a ser distribuído através de spam. Se o utilizador visitar e descarregar um determinado arquivo .LNK, acaba por correr o trojan Astaroth, um conhecido “info-stealer”
A equipa de segurança da Microsoft lançou um aviso sobre campanhas de malware em andamento que estão a distribuir o malware Astaroth através de técnicas fileless e living-off-the-land. Estas técnicas dificultam que as soluções antivírus tradicionais identifiquem os ataques em andamento. Estes ataques foram detetados pela equipa do Windows Defender ATP, a versão comercial do antivírus gratuito do Windows Defender. Andrea Lelli, membro da equipa em questão, explicou que os alarmes soaram quando detetaram um aumento enorme e repentino na utilização da ferramenta Windows Management Instrumentation Command-line, ou WMIC. O WMIC é uma ferramenta legítima que acompanha todas as versões modernas do Windows, mas o aumento repentino na utilização sugere um padrão específico para campanhas de malware. Quando a Microsoft investigou mais atentamente, descobriu uma campanha de malware que consistia numa enorme operação de spam que envia e-mails com um link para um site que hospeda um arquivo de atalho .LNK. Se os utilizadores descarregarem e executarem o arquivo em questão, iria lançar a ferramenta WMIC e, em seguida, várias outras ferramentas legítimas do Windows, uma após a outra. Todas as ferramentas descarregam código adicional e passam a sua produção para outra, executando apenas na memória - no que é chamado de execução sem arquivos - e sem salvar nenhum arquivo no disco, dificultando o trabalho das soluções antivírus clássicas, já que não teriam nada para arquivar no disco para digitalizar. No final, o ataque descarregou e executou o trojan Astaroth, um conhecido “info-stealer” que pode despejar credenciais numa ampla categoria de aplicações. |