Saltar al contenido

Este troyano roba credenciales mediante la explotación de software antivirus

yoEn una publicación de blog, el Equipo de Investigación Nocturnus de Cybereason ha descubierto una nueva variedad de Troyano astaroth que infecta los sistemas mediante la explotación de procesos de software antivirus instalados en él.

El troyano se está desplegando en campañas de spam en Brasil y Europa, donde se dirigió a miles de computadoras a partir de diciembre de 2018. Se propaga a través de enlaces maliciosos y archivos adjuntos .7Zip. Cuando se ejecuta en un sistema, Disfraces como un GIF, JPEG. o un archivo sin extensión para escapar de la detección.

suscribir a Fossbytes

Si un archivo de mensajes de phishing o correos electrónicos no deseados, que contiene el malware, se descarga y abre; utiliza la herramienta legítima de Microsoft Windows BITSAdmin para descargar la carga útil completa desde un servidor de comando y control (C2).

Una vez que se ha inicializado, el troyano ejecuta un script XSL Para establecer una conexión con el servidor C2. El script tiene funciones que ayudan a que el malware se oculte del antivirus y descargue la carga completa.

La versión anterior del Astaroth lanzó un escaneo para detectar software antivirus en su computadora de destino, y si, en particular, se detecta Avast Antivirus, simplemente se cierra.

Sin embargo, esta versión modificada de Astaroth. abusa del software de Avast Dynamic Link Library e inyecta un módulo malicioso en uno de sus procesos. En tal abuso, el malware se aprovecha al vivir de los binarios terrestres o LOLbins.

?Al ingresar al 2019, anticipamos que el uso de WMIC y otros LOLbins aumentará. Debido al gran potencial de explotación maliciosa inherente al uso de LOLbins, es muy probable que muchos otros ladrones de información adopten este método para entregar su carga útil en máquinas específicas " Dijeron los investigadores de seguridad de cybereason.

Ahora mira:

Califica este Articulo!