Следующая новость
Предыдущая новость

Троян Astaroth использует антивирусы для кражи данных

15.02.2019 23:23
Троян Astaroth использует антивирусы для кражи данных

Рекомендуем почитать:

Xakep #238. Забытый Android

  • Содержание выпуска
  • Подписка на «Хакер»

ИБ-эксперты Cybereason Nocturnus Research обнаружили новую версию малвари Astaroth, которая использует легитимные процессы (в том числе и защитного ПО) в своих целях. Исследователи пишут, что троян использует продукты Avast и GAS Tecnologia для хищения данных и загрузки вредоносных модулей.

Инфостилер Astaroth был замечен специалистами еще в 2018 году. К примеру, о малвари рассказывали аналитики компании Cofense. Тогда, как и сейчас, Astaroth атаковал пользователей в Бразилии и странах Европы, и задействовал для работы легитимные решения, к примеру, эксплуатировал интерфейс командной строки WMIC для тайной загрузки и установки вредоносных пейлоадов.

Троян Astaroth использует антивирусы для кражи данных
Схема работы Astaroth

Astaroth способен похищать данные из буфера обмена, перехватывать нажатия клавиш, системные сообщения, похищать учетные данные от различных служб и сервисов, а также стремится собрать как можно больше информации о зараженной системе и финансовых счетах жертвы.

Новая вариация Astaroth, обнаруженная Cybereason Nocturnus Research, похожа на своих «предшественников», и тоже использует в работе легитимную утилиту Windows BITSAdmin для загрузки пейлоадов. Как и в предыдущих случаях, троян распространяется через спамерские письма и доставляется на машину жертвы во вложении (файл .7zip) или через вредоносную ссылку в таком письме.

Также исследователи заметили, что данная версия трояна осуществляет инжект вредоносного модуля в процесс aswrundll.exe (Avast Software Runtime Dynamic Link Library), принадлежащий антивирусу Avast. С его помощью троян извлекает данные с зараженной машины, а также загружает дополнительные модули, если потребуется. Если же Avast в зараженной системе отсутствует, аналогичный «трюк» малварь проделывает с процессом unins000.exe, принадлежащим защитному решению компании GAS Tecnologia.

После публикации отчета Cybereason Nocturnus Research представители Avast связались с исследователями и СМИ и пояснили, что защитное ПО компании не подвергается взлому, а действия преступников не являются инжектами или эскалацией привилегий. Разработчики заверили, что уже изучают проблему и в ближайшее время введут новые защитные меры, чтобы предотвратить подобные злоупотребления в будущем.

Источник

Последние новости