Anda mungkin pernah mendengar baru-baru ini bahwa Malware Trojan Astaroth kembali.
Meskipun memiliki nama yang membuatnya terdengar seperti novel Michael Crichton dari Death Metal Swedia yang hilang, Malware Trojan Astaroth adalah kode yang jahat. Trojan pertama kali terdeteksi pada tahun 2017 setelah digunakan dalam beberapa serangan cyber Amerika Selatan.
Kampanye malware fileless yang digunakan oleh penyerang untuk menjatuhkan informasi mencuri Malware Trojan Astaroth ke dalam memori komputer yang terinfeksi terdeteksi oleh Microsoft Defender ATP Research Team researchers.
Malware Trojan Astaroth dan pencuri informasi adalah jenis malware yang mampu mencuri informasi sensitif seperti kredensial pengguna dari korbannya menggunakan modul key logger, intersepsi panggilan sistem operasi, dan pemantauan clipboard.
Malware Trojan Astaroth juga dikenal karena menyalahgunakan living-off-the-land binaries (LOLbins) seperti antarmuka baris perintah dari Windows-Command Instrumentation Command-line ( WMIC ) untuk mengunduh dan menginstal muatan malware secara diam-diam di latar belakang.
Kampanye malware yang ditemukan oleh Tim Riset Microsoft Defender ATP menggunakan beberapa teknik tak bernyawa dan proses infeksi multi-tahap yang dimulai dengan email phishing tombak berisi tautan jahat yang mengarahkan calon korban ke file LNK.
Setelah diklik dua kali, "file LNK menyebabkan eksekusi alat WMIC dengan parameter" / Format ", yang memungkinkan pengunduhan dan pelaksanaan kode JavaScript. Kode JavaScript pada gilirannya mengunduh muatan dengan menggunakan alat Bitsadmin."
Payload berbahaya yang diunduh di latar belakang semuanya disandikan Base64 dan didekodekan pada sistem yang dikompromikan menggunakan alat Certutil yang sah dalam bentuk empat DLL yang akan dimuat dengan bantuan alat Regsvr32.
File DLL yang dimuat selanjutnya akan memuat DLL kedua dalam memori yang secara reflektif akan memuat yang ketiga, yang dirancang untuk mendekripsi dan menyuntikkan DLL lain ke dalam Userinit. DLL keempat ini bertindak sebagai proksi yang secara reflektif akan memuat DLL kelima ke dalam memori menggunakan proses pengosongan .
File DLL kelima dan terakhir ini adalah muatan malware Trojan terakhir dari Astaroth yang akan mengumpulkan dan mengeksfiltrasi berbagai jenis informasi sensitif dari para korban ke server perintah-dan-kontrol (C2) yang dikendalikan oleh para penyerang.
"Sangat menarik untuk dicatat bahwa selama rantai serangan tidak ada file run yang bukan alat sistem. Teknik ini disebut hidup di luar tanah: menggunakan alat yang sah yang sudah ada pada sistem target untuk menyamar sebagai kegiatan biasa," tambah para peneliti.
Peneliti Microsoft hanya menggambarkan tahap awal dan pelaksanaan serangan malware dalam laporan mereka mengingat bahwa mereka hanya fokus pada bagaimana infeksi Trojan terdeteksi dan diblokir oleh Microsoft Defender ATP.
Fitur dan teknologi pertahanan yang digunakan oleh Microsoft Defender ATP untuk menghentikan infeksi dirinci dalam grafik yang merinci langkah demi langkah solusi yang digunakan untuk mengidentifikasi dan mencegah infeksi Astaroth pada komputer Windows yang terpengaruh.
Tim Peneliti ATP Microsoft Defender juga menyebutkan teknik yang digunakan dalam serangan malware filar Malware Trojan Astaroth pada setiap tahap infeksi dan alat Windows yang digunakan untuk menyebarkan infeksi secara diam-diam pada sistem yang dikompromikan.
Seperti yang disimpulkan oleh Microsoft Defender ATP Research Andrea Lelli , "menyalahgunakan teknik fileless tidak menempatkan malware di luar jangkauan atau visibilitas perangkat lunak keamanan. Sebaliknya, beberapa teknik fileless mungkin begitu tidak biasa dan aneh sehingga mereka segera menarik perhatian ke malware, dengan cara yang sama bahwa kantong uang bergerak dengan sendirinya. "
Kembali pada bulan Februari, kampanye Malware Trojan Astaroth lain diamati oleh Cybereason sambil mengeksploitasi solusi keamanan dan anti-malware, serta teknik hidup-dari-tanah dan menyalahgunakan binari hidup-di-tanah (LOLbins) untuk mencuri informasi dari Eropa dan Target Brasil.
Pusat Pertahanan Phishing (PDC) Cofense juga menemukan kampanye malspam yang mendistribusikan Malware Trojan Astaroth pada September 2018 dan secara eksklusif menargetkan para korban Amerika Selatan, dengan sekitar 8.000 mesin berpotensi dikompromikan dalam satu minggu serangan.
Secara historis diminta melalui email dan lampiran yang korup, Trojan menggunakan Windows Management Instrumentation Console dan antarmuka baris perintahnya untuk mengunduh dan memasang muatannya. Biasanya ini menggunakan mode non-interaktif untuk menyembunyikan apa yang dilakukannya dari pengguna akhir.
Untuk menghindari deteksi Malware Trojan Astaroth bersembunyi di situs biasa, menggunakan domain yang tampaknya aman dengan potongan URL tambahan yang ditambahkan pada poin itu ke muatannya. Versi sebelumnya, saat diinstal akan memindai perangkat lunak antivirus. Jika antivirus ditemukan di titik akhir, malware akan mematikan dirinya sendiri.
Versi baru ini berperilaku berbeda. Payload Trojan biasanya menyamar sebagai JPEG, GIF atau lampiran ekstensi-kurang. Setelah diunduh dan dibuka, Malware Trojan Astaroth yang baru sebenarnya memanfaatkan perangkat lunak antivirus, khususnya Avast Free Antivirus, untuk menyuntikkan modul jahat ke dalam salah satu prosesnya. Setelah instalasi, malware mulai mencatat penekanan tombol, mencegat panggilan sistem operasi, dan mengumpulkan informasi PII lainnya untuk mencuri kredensial dan kata sandi.
Karena Avast adalah salah satu solusi antivirus yang paling banyak digunakan di planet ini, ini bisa menjadi bagian Malware yang sangat jahat.
Varian baru ditemukan oleh orang-orang baik yang membentuk tim Nocturnus Research Cybereason, Menurut tim Cybereason seperti yang dikutip dari laman Blognya https://www.security7.net/news/fyi-the-astaroth-trojan sebagai berikut :
Dalam penelitian malware ini, kami menjelaskan salah satu kampanye terbaru dan unik yang melibatkan Malware Trojan Astaroth. Pencuri informasi dan Trojan ini mempengaruhi Eropa dan khususnya Brasil melalui penyalahgunaan proses OS asli dan eksploitasi produk terkait keamanan (dengan cara yang mirip dengan bagaimana penyalahgunaan proses OS asli).
Trojan dalam kampanye spam besar-besaran yang menargetkan Brasil dan sebagian Eropa. Kampanye jahat memanfaatkan alat yang sah seperti utilitas BITSAdmin dan utilitas WMIC untuk berinteraksi dengan server C2 dan mengunduh muatan. Uniknya, itu juga dapat menggunakan perangkat lunak antivirus Avast untuk mendapatkan informasi tentang sistem target.
Brasil terus-menerus dipukul dengan kejahatan dunia maya. Untuk membaca tentang serangan meresap lain di Brasil,
Kampanye spam mendapatkan momentum menjelang akhir 2018 dan diidentifikasi dalam ribuan insiden. Dalam waktu singkat, para penyerang membuat perubahan dramatis pada proses yang meningkatkan serangannya secara signifikan. Dalam versi malware yang kami peroleh, kami melihat empat pembeda utama dan unik dari versi sebelumnya.
Skrip XSL jarak jauh berisi kode yang sangat dikaburkan yang mampu mengeksekusi aktivitas jahat tambahan. Ia menggunakan beberapa fungsi untuk menyembunyikan aktivitasnya dari pertahanan antivirus dan peneliti. Skrip ini pada akhirnya bertanggung jawab atas penyalahgunaan BITSAdmin untuk mengunduh muatan penyerang ke target dari server C2 yang terpisah. File payload disamarkan sebagai JPEG, GIF, dan file tanpa ekstensi, dan berisi modul Malware Trojan Astaroth.
Setelah payload diterima, itu mengidentifikasi jika Avast ada di mesin yang terinfeksi. Jika demikian, ia menggunakan Avast untuk memuat modul jahat yang bertanggung jawab untuk memuat modul lain dan mengumpulkan informasi tentang mesin. Modul kedua dimuat untuk mengumpulkan dan mengekstrak informasi seperti data clipboard, informasi kata sandi, dan banyak lagi.
Mengumpulkan data jenis ini dapat berdampak besar pada organisasi dan individu. Mendapatkan akses ke kata sandi akun dapat menyebabkan penyerang ke korespondensi email yang berpotensi sensitif, informasi pelanggan, informasi penelitian dan pengembangan, dan banyak lagi. Seperti kebocoran email DNC 2016 , ini dapat memiliki konsekuensi yang cukup besar. Ini dapat berdampak negatif bagi pengguna, melalui kehilangan data dari email dan kehilangan dana dengan informasi bank yang dicuri. Ini juga dapat memengaruhi perusahaan, karena rahasia dagang dan penelitian mereka di masa depan telah dipublikasikan. Hal ini dapat mengakibatkan hilangnya kepercayaan konsumen, degradasi merek, dan keunggulan pesaing.
Meskipun memiliki nama yang membuatnya terdengar seperti novel Michael Crichton dari Death Metal Swedia yang hilang, Malware Trojan Astaroth adalah kode yang jahat. Trojan pertama kali terdeteksi pada tahun 2017 setelah digunakan dalam beberapa serangan cyber Amerika Selatan.
Kampanye malware fileless yang digunakan oleh penyerang untuk menjatuhkan informasi mencuri Malware Trojan Astaroth ke dalam memori komputer yang terinfeksi terdeteksi oleh Microsoft Defender ATP Research Team researchers.
Malware Trojan Astaroth dan pencuri informasi adalah jenis malware yang mampu mencuri informasi sensitif seperti kredensial pengguna dari korbannya menggunakan modul key logger, intersepsi panggilan sistem operasi, dan pemantauan clipboard.
Malware Trojan Astaroth juga dikenal karena menyalahgunakan living-off-the-land binaries (LOLbins) seperti antarmuka baris perintah dari Windows-Command Instrumentation Command-line ( WMIC ) untuk mengunduh dan menginstal muatan malware secara diam-diam di latar belakang.
Kampanye malware yang ditemukan oleh Tim Riset Microsoft Defender ATP menggunakan beberapa teknik tak bernyawa dan proses infeksi multi-tahap yang dimulai dengan email phishing tombak berisi tautan jahat yang mengarahkan calon korban ke file LNK.
Setelah diklik dua kali, "file LNK menyebabkan eksekusi alat WMIC dengan parameter" / Format ", yang memungkinkan pengunduhan dan pelaksanaan kode JavaScript. Kode JavaScript pada gilirannya mengunduh muatan dengan menggunakan alat Bitsadmin."
Payload berbahaya yang diunduh di latar belakang semuanya disandikan Base64 dan didekodekan pada sistem yang dikompromikan menggunakan alat Certutil yang sah dalam bentuk empat DLL yang akan dimuat dengan bantuan alat Regsvr32.
File DLL yang dimuat selanjutnya akan memuat DLL kedua dalam memori yang secara reflektif akan memuat yang ketiga, yang dirancang untuk mendekripsi dan menyuntikkan DLL lain ke dalam Userinit. DLL keempat ini bertindak sebagai proksi yang secara reflektif akan memuat DLL kelima ke dalam memori menggunakan proses pengosongan .
File DLL kelima dan terakhir ini adalah muatan malware Trojan terakhir dari Astaroth yang akan mengumpulkan dan mengeksfiltrasi berbagai jenis informasi sensitif dari para korban ke server perintah-dan-kontrol (C2) yang dikendalikan oleh para penyerang.
"Sangat menarik untuk dicatat bahwa selama rantai serangan tidak ada file run yang bukan alat sistem. Teknik ini disebut hidup di luar tanah: menggunakan alat yang sah yang sudah ada pada sistem target untuk menyamar sebagai kegiatan biasa," tambah para peneliti.
Peneliti Microsoft hanya menggambarkan tahap awal dan pelaksanaan serangan malware dalam laporan mereka mengingat bahwa mereka hanya fokus pada bagaimana infeksi Trojan terdeteksi dan diblokir oleh Microsoft Defender ATP.
Fitur dan teknologi pertahanan yang digunakan oleh Microsoft Defender ATP untuk menghentikan infeksi dirinci dalam grafik yang merinci langkah demi langkah solusi yang digunakan untuk mengidentifikasi dan mencegah infeksi Astaroth pada komputer Windows yang terpengaruh.
Tim Peneliti ATP Microsoft Defender juga menyebutkan teknik yang digunakan dalam serangan malware filar Malware Trojan Astaroth pada setiap tahap infeksi dan alat Windows yang digunakan untuk menyebarkan infeksi secara diam-diam pada sistem yang dikompromikan.
Seperti yang disimpulkan oleh Microsoft Defender ATP Research Andrea Lelli , "menyalahgunakan teknik fileless tidak menempatkan malware di luar jangkauan atau visibilitas perangkat lunak keamanan. Sebaliknya, beberapa teknik fileless mungkin begitu tidak biasa dan aneh sehingga mereka segera menarik perhatian ke malware, dengan cara yang sama bahwa kantong uang bergerak dengan sendirinya. "
Kembali pada bulan Februari, kampanye Malware Trojan Astaroth lain diamati oleh Cybereason sambil mengeksploitasi solusi keamanan dan anti-malware, serta teknik hidup-dari-tanah dan menyalahgunakan binari hidup-di-tanah (LOLbins) untuk mencuri informasi dari Eropa dan Target Brasil.
Pusat Pertahanan Phishing (PDC) Cofense juga menemukan kampanye malspam yang mendistribusikan Malware Trojan Astaroth pada September 2018 dan secara eksklusif menargetkan para korban Amerika Selatan, dengan sekitar 8.000 mesin berpotensi dikompromikan dalam satu minggu serangan.
Secara historis diminta melalui email dan lampiran yang korup, Trojan menggunakan Windows Management Instrumentation Console dan antarmuka baris perintahnya untuk mengunduh dan memasang muatannya. Biasanya ini menggunakan mode non-interaktif untuk menyembunyikan apa yang dilakukannya dari pengguna akhir.
Untuk menghindari deteksi Malware Trojan Astaroth bersembunyi di situs biasa, menggunakan domain yang tampaknya aman dengan potongan URL tambahan yang ditambahkan pada poin itu ke muatannya. Versi sebelumnya, saat diinstal akan memindai perangkat lunak antivirus. Jika antivirus ditemukan di titik akhir, malware akan mematikan dirinya sendiri.
Versi baru ini berperilaku berbeda. Payload Trojan biasanya menyamar sebagai JPEG, GIF atau lampiran ekstensi-kurang. Setelah diunduh dan dibuka, Malware Trojan Astaroth yang baru sebenarnya memanfaatkan perangkat lunak antivirus, khususnya Avast Free Antivirus, untuk menyuntikkan modul jahat ke dalam salah satu prosesnya. Setelah instalasi, malware mulai mencatat penekanan tombol, mencegat panggilan sistem operasi, dan mengumpulkan informasi PII lainnya untuk mencuri kredensial dan kata sandi.
Karena Avast adalah salah satu solusi antivirus yang paling banyak digunakan di planet ini, ini bisa menjadi bagian Malware yang sangat jahat.
Varian baru ditemukan oleh orang-orang baik yang membentuk tim Nocturnus Research Cybereason, Menurut tim Cybereason seperti yang dikutip dari laman Blognya https://www.security7.net/news/fyi-the-astaroth-trojan sebagai berikut :
Sorotan Serangan Malware Trojan Astaroth
- Kampanye spam Malware Trojan Astaroth adalah Trojan yang baru-baru ini digunakan untuk mencuri kata sandi dan informasi pribadi dari individu di Brasil.
- Brasil adalah kontributor utama kejahatan cyber global yang terus memiliki sejumlah besar kegiatan jahat yang menargetkan individu .
- Malware Trojan Astaroth menyamarkan muatannya sebagai file JPEG, GIF, dan tanpa ekstensi untuk menghindari deteksi.
- Kampanye ini mengeksploitasi proses sistem operasi yang sah serta produk vendor keamanan dari perusahaan seperti Avast dan GAS Tecnologia untuk mendapatkan informasi tentang mesin target dan mencuri informasi kata sandi, serta informasi keystate dan penggunaan clipboard.
Update Informasi Malware Trojan Astaroth
Dalam penelitian malware ini, kami menjelaskan salah satu kampanye terbaru dan unik yang melibatkan Malware Trojan Astaroth. Pencuri informasi dan Trojan ini mempengaruhi Eropa dan khususnya Brasil melalui penyalahgunaan proses OS asli dan eksploitasi produk terkait keamanan (dengan cara yang mirip dengan bagaimana penyalahgunaan proses OS asli).
Tim Active Hunting Cybereason mampu mendeteksi varian baru Malware Trojan Astaroth ini
Trojan dalam kampanye spam besar-besaran yang menargetkan Brasil dan sebagian Eropa. Kampanye jahat memanfaatkan alat yang sah seperti utilitas BITSAdmin dan utilitas WMIC untuk berinteraksi dengan server C2 dan mengunduh muatan. Uniknya, itu juga dapat menggunakan perangkat lunak antivirus Avast untuk mendapatkan informasi tentang sistem target.
Brasil terus-menerus dipukul dengan kejahatan dunia maya. Untuk membaca tentang serangan meresap lain di Brasil,
Kampanye spam mendapatkan momentum menjelang akhir 2018 dan diidentifikasi dalam ribuan insiden. Dalam waktu singkat, para penyerang membuat perubahan dramatis pada proses yang meningkatkan serangannya secara signifikan. Dalam versi malware yang kami peroleh, kami melihat empat pembeda utama dan unik dari versi sebelumnya.
- Versi ini dengan jahat menggunakan BITSAdmin untuk mengunduh muatan penyerang. Ini berbeda dari versi awal kampanye yang menggunakan certutil .
- Versi ini menyuntikkan modul jahat ke dalam salah satu proses Avast , sedangkan versi awal kampanye mendeteksi Avast dan berhenti. Karena Avast adalah perangkat lunak antivirus paling umum di dunia , ini adalah strategi mengelak yang efektif.
- Versi kampanye ini menggunakan jahat unins000.exe, sebuah proses yang dimiliki oleh perusahaan keamanan informasi Brasil GAS Tecnologia, untuk mengumpulkan informasi pribadi tanpa terdeteksi. Proses ini lazim pada mesin Brasil. Sejauh pengetahuan kami, tidak ada versi malware lain yang menggunakan proses ini.
- Versi ini menggunakan metode deobfuscation fromCharCode () untuk menghindari penulisan perintah eksekusi secara eksplisit dan membantu menyembunyikan kode yang diprakarsainya. Versi sebelumnya tidak menggunakan metode ini.
Menjelaskan Serangan Malware Trojan Astaroth
Seperti banyak kampanye tradisional, kampanye ini dimulai dengan file .7zip yang diunduh ke mesin pengguna melalui lampiran email atau hyperlink yang ditekan secara keliru. File .7zip yang diunduh berisi file .lnk yang, setelah ditekan, menginisialisasi malware. Setelah inisialisasi, sebuah proses memunculkan yang menggunakan wmic.exe yang sah untuk menginisialisasi serangan Pengolahan Skrip XSL. Serangan ini memungkinkan malware untuk berkomunikasi dengan server C2 jarak jauh dan mengirim informasi seperti informasi lokasi tentang mesin yang terinfeksi ke server jarak jauh.Skrip XSL jarak jauh berisi kode yang sangat dikaburkan yang mampu mengeksekusi aktivitas jahat tambahan. Ia menggunakan beberapa fungsi untuk menyembunyikan aktivitasnya dari pertahanan antivirus dan peneliti. Skrip ini pada akhirnya bertanggung jawab atas penyalahgunaan BITSAdmin untuk mengunduh muatan penyerang ke target dari server C2 yang terpisah. File payload disamarkan sebagai JPEG, GIF, dan file tanpa ekstensi, dan berisi modul Malware Trojan Astaroth.
Setelah payload diterima, itu mengidentifikasi jika Avast ada di mesin yang terinfeksi. Jika demikian, ia menggunakan Avast untuk memuat modul jahat yang bertanggung jawab untuk memuat modul lain dan mengumpulkan informasi tentang mesin. Modul kedua dimuat untuk mengumpulkan dan mengekstrak informasi seperti data clipboard, informasi kata sandi, dan banyak lagi.
aswrundll.exe adalah Avast Software Runtime Dynamic Link Library yang bertanggung jawab untuk menjalankan modul untuk Avast. aswrundll.exe sangat mirip dengan rundll32.exe Microsoft sendiri - memungkinkan seseorang untuk mengeksekusi DLL dengan memanggil fungsi yang diekspor. Penggunaan aswrundll.exe sebagai LOLbin telah disebutkan pada tahun lalu .
Dampak Dari Malware Trojan Astaroth
Setelah kampanye berhasil disusupi, kampanye akan mencatat penekanan tombol pengguna, mencegat panggilan sistem operasi mereka, dan mengumpulkan informasi yang disimpan ke clipboard terus menerus. Dengan metode ini, ia mengungkap sejumlah besar informasi pribadi dari rekening bank pengguna dan rekening bisnis. Selain itu, bersama dengan NetPass, ia mengumpulkan kata sandi login pengguna di papan tanpa terdeteksi, termasuk komputer jarak jauh mereka di LAN, kata sandi akun email, akun Messenger, kata sandi Internet Explorer, dan lainnya.Mengumpulkan data jenis ini dapat berdampak besar pada organisasi dan individu. Mendapatkan akses ke kata sandi akun dapat menyebabkan penyerang ke korespondensi email yang berpotensi sensitif, informasi pelanggan, informasi penelitian dan pengembangan, dan banyak lagi. Seperti kebocoran email DNC 2016 , ini dapat memiliki konsekuensi yang cukup besar. Ini dapat berdampak negatif bagi pengguna, melalui kehilangan data dari email dan kehilangan dana dengan informasi bank yang dicuri. Ini juga dapat memengaruhi perusahaan, karena rahasia dagang dan penelitian mereka di masa depan telah dipublikasikan. Hal ini dapat mengakibatkan hilangnya kepercayaan konsumen, degradasi merek, dan keunggulan pesaing.