astaroth

Astaroth: Une augmentation des attaques

Les chercheurs en sécurité de Microsoft ont détecté une nouvelle campagne de distribution du malware sans fichier nommé Astaroth, le trojan a été repéré pour la première fois en 2017 et est conçu pour subtiliser les informations sensibles tels que les informations de connexions, les frappes de clavier, et d’autres données, sans avoir besoin de fichiers exécutables sur le disque ou de logiciel sur la machine de la victime.

Détails sur Astaroth

Initialement découverte par les chercheurs de Cybereason en Février cette année, Astaroth exécute le payload directement dans la mémoire de l’ordinateur ciblé en tirant parti des outils système, tel que WMIC, Certutil, Bitsadmin, et Regsvr32, pour exécuter le code malveillant.

En jetant un œil aux données télémétriques de Windows, Andrea Lelli, une chercheuse de l’équipe de recherche Microsoft Defender ATP, a récemment observé une forte augmentation de l’utilisation de l’outil Management Instrumentation Command-line (WMIC).

Une enquête plus poussée à révéler que les pirates derrière cette campagne distribuent le malware Astaroth en utilisant des emails d’hameçonnage ciblés qui contiennent un lien vers un site hébergeant un fichier raccourci LNK.

Si vous cliquez sur le fichier raccourci, l’outils WMIC s’exécute en téléchargeant et en exécutant du code JavaScript, qui force l’outil Bitsadmin à télécharger le reste des payloads malveillants et téléverse les données de la victime en se faisant passer pour un processus du systèmes.

“Tout les payloads sont encodés en Base64 et décodé en utilisant l’outil Certutil. Deux d’entre eux deviennent des fichiers DLL (les autres restes encryptés),” a révélé le chercheur dans article.

“L’outil Regsvr32 est ensuite utilisé pour charger l’un des DLL décodés, qui à son tour décrypte et charge d’autres fichiers jusqu’à ce que le dernier payload, Astaroth, soit injecté dans le processus Userinit.”

Cela veut dire que le malware n’exploite aucune vulnérabilité et utilise des méthodes différentes comparé aux autres trojans. Il se repose complètement sur les outils système et les commandes pendant la chaîne d’attaque pour ne pas se faire repérer.

astaroth fileless malware attacks

Cette technique est appelé “living off the land” et permet au malware d’éviter la détection de la plupart des logiciels antivirus qui sont basés sur l’analyse de fichiers statiques.

L’accès initial et les stages d’exécution pour installer silencieusement le malware Astaroth sur les systèmes ciblés a été démontré dans la chaîne d’attaque ci-dessus.

Une fois sur le système ciblé, Astaroth essaye de subtiliser des informations sensibles comme les informations de connexion, les frappes de clavier, ou encore d’autres données, et les envoient vers un serveur distant contrôlé par les pirates.

Microsoft affirme que sa protection Defender ATP nouvelle-génération peut détecter ce genre d’attaque à chaque étape d’infection, alors que les autres solutions de sécurité basées sur les fichiers statiques n’ont pas cette capacité.

Andrea a déclaré: “être sans-fichier ne veut pas dire être invisible; cela ne signifie certainement pas d’être indétectable. Il n’y a pas de cybercrime parfait: même les malware sans-fichier laisse des traces.”

Si vous avez un bon niveau d’anglais et que vous voulez en savoir plus sur le malware Astaroth, vous pouvez jeter un œil à l’article de Cybereason publié en Février.

Si cet article vous a plu, notre précédent article concernant le malware Dridex pourrait vous intéresser.

Poster un Commentaire

avatar
  S’abonner  
Notifier de