El grupo de investigación de Microsoft Defender ATP detectaron una campaña de malware de naturaleza Fileless utilizada por los ciberdelincuentes para robar información por medio del troyano Astaroth atacando directamente a la memoria de los equipos.
El troyano y stealer Astaroth, es una nueva variante capaz de robar información sensible, como por ejemplo, credenciales de usuario, mediante el uso de un módulo registrador de claves, interceptar llamadas del sistema operativo, supervisar la actividad del portapapeles, entre otras funcionalidades.
Astaroth también es conocido por abusar de los binarios living-off-the-land (LOLbins), programas legítimos de los cuales se puede abusar para evitar la seguridad y evadir la detección, como de la interfaz de línea de comandos de Windows Management Instrumentation (WMIC) con el fin de descargar e instalar sigilosamente payloads en segundo plano.
El equipo de Windows Defender ATP utiliza de varias técnicas Fileless a través de un proceso de infección de múltiples etapas que comienza con un correo electrónico de phishing, el cual contiene un link malicioso que descarga un archivo con extensión .LNK. Al hacer click provoca la ejecución de la herramienta WMIC, que descarga y ejecuta un código de JavaScript que a su vez descarga payloads al abusar de la herramienta Bitsadmin.
Estos payloads están codificados en Base64 y se alojan en los sistemas comprometidos utilizando la herramienta Certutil, legítima de Windows, en forma de cuatro DLL’s que se cargarán con la herramienta Regsvr32.
Cada DLL va cargando a su predecesora para ofuscar la actividad maliciosa, la cuarta DLL actúa como un proxy que cargará un quinto DLL. Este quinto y último archivo DLL es el payload del malware troyano Astaroth final que recopila y envía la información confidencial de sus víctimas a los servidores de comando y control (C2) controlados por los atacantes.
Los investigadores de Microsoft describen solo las etapas iniciales y de ejecución del ataque del malware en el informe. Las características y tecnologías de defensa utilizadas por Microsoft Defender ATP para detener la infección se detallan en un gráfico resumen que detalla el paso a paso de las soluciones utilizadas para identificar y prevenir una infección de Astaroth.
REFERENCIA
COMENTARIOS