Variación del troyano Astaroth logra evadir software anti-malware y robar información.



Una nueva campaña del troyano Astaroth dirigida a Brazil y países europeos está evadiendo los controles de seguridad de antivirus y software de seguridad anti-malware, el troyano ya ha saltado antivirus como Avast entre otros y tiene como fin la exfiltración de información importante.

 

De acuerdo con el equipo  Cybereason’s Nocturnus que descubrieron la nueva campaña de Astaroth, el malware crea supuestamente “procesos legítimos de Windows OS para realizar actividades maliciosas y obtener un acceso sin ser detectado”, pero también hace uso de herramientas conocidas e incluso del mismo software antivirus para ampliar sus capacidades .

 

Método de infección basado en correo electrónico

 

La nueva variación descubierta por los investigadores de Cybereason utiliza  una función legítima de Windows llamada BITSAdmin (diseñada para ayudar al usuario a crear trabajos de descarga, carga y monitorear el progreso).

 

Esta variante de Astaroth se distribuye a través de campañas de spam al igual que las versiones anteriores, y la infección comienza con un archivo adjunto .7zip entregado a la víctima. El adjunto contiene un archivo malicioso .lnk que al ser ejecutado creará un proceso conocido en Windows como wmic.exe.

 

A continuación, el malware se conecta a un Command-and-Control y empieza a exfiltrar información sobre la computadora infectada. Posterior a ello descarga una secuencia de comandos cifrada XSL en la máquina infectada, el troyano usará BITSAdmin para capturar un acceso válido y ofuscarse cuidadosamente como imágenes o archivos sin extensiones que contengan varios módulos Astaroth.

 

 

 

Una vez que la campaña se haya infiltrado con éxito, registrará las pulsaciones de los usuarios, interceptará las llamadas de su sistema operativo y recopilará toda la información guardada en el portapapeles continuamente. Con estos métodos, estaría en la capacidad de recoger información personal, cuentas bancarias de los usuarios y las organizaciones.

 

Ante este suceso, los investigadores recomiendan estar alerta porque es muy probable que nuevos incidentes de puedan producir.

 

..Hasta el próximo post.!

 

DataProtect.!