攻防最前线:新型木马Astaroth利用杀毒软件窃取数据

栏目: 编程工具 · 发布时间: 5年前

内容简介:一种新的Astaroth木马病毒被赋予了利用杀毒软件和服务中易受攻击的进程的能力。Cybereason的Nocturnus研究团队周三在一篇博客文章中表示,这种病毒能够利用网络安全软件中的模块来窃取在线凭证和个人数据。Astaroth以其最新的形式出现在巴西和欧洲的垃圾邮件宣传活动中,截至2018年底,已有数千受害者设备被感染。恶意软件通过.7zip文件附件和恶意链接传播。木马伪装成JPEG、.gif或无扩展文件,以避免在机器上执行时被发现。

攻防最前线:新型木马Astaroth利用杀毒软件窃取数据

一种新的Astaroth木马病毒被赋予了利用杀毒软件和服务中易受攻击的进程的能力。Cybereason的Nocturnus研究团队周三在一篇博客文章中表示,这种病毒能够利用网络安全软件中的模块来窃取在线凭证和个人数据。

Astaroth以其最新的形式出现在巴西和欧洲的垃圾邮件宣传活动中,截至2018年底,已有数千受害者设备被感染。恶意软件通过.7zip文件附件和恶意链接传播。木马伪装成JPEG、.gif或无扩展文件,以避免在机器上执行时被发现。

如果垃圾邮件或钓鱼消息被成功送达后发挥作用,且相关文件被下载打开,合法的Microsoft Windows BITSAdmin工具则会被用以从命令与控制(C2)服务器下载完整的有效负载。

  • 初始化后,恶意软件会启动一个XSL脚本,该脚本与C2服务器建立通道。该脚本经过混淆,包含隐藏自杀毒软件的功能,并负责利用BITSAdmin从单独的C2服务器下载有效载荷(包含Astaroth)的过程。
  • 然后,特洛伊木马的旧版本变种将启动扫描以查找杀毒程序(尤其是Avast),如果出现在受感染的系统上,恶意软件就会退出。但据研究人员的说法,新的Astaroth现在将滥用杀毒程序,将恶意模块注入其中一个进程。
  • 新版本的Astaroth如果检测到Avast,则会滥用运行Avast aswrundll.exe模块的Avast软件运行时动态链接库。这个可执行文件——类似于Microsoft的rundll32.exe——可以通过调用它们导出的函数来执行dll。这些系统的滥用被称Lolbin。GAS Tecnologia提供的反欺诈安全程序也以同样的方式被利用。

2017年,该木马首次出现在南美针对个人的攻击中。这一恶意软件能够窃取与目标机器、密码、密钥状态数据和剪贴板上的任何内容有关的信息。

此外,Astaroth还可以进行键盘记录,如果安装在合适的设备上,可以拦截呼叫,并终止进程。该恶意软件还利用fromCharCode()去混淆方法隐藏代码执行,这是对以前版本Astaroth的升级。

随着2019年的到来,我们预计WMIC和其他lolbin的使用将会增加,”Cybereason说。“由于lolbin的使用本身就具有巨大的恶意利用潜力,其他许多信息窃取者很可能会采用这种方法将其有效负载发送到目标机器上。”

上个月,Malwarebytes发布的一项新研究表明,木马病毒和与后门相关的攻击在过去一年中增加了一倍多。间谍软件攻击的频率也在增加,同期增加了142%。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Google 广告优化与工具

Google 广告优化与工具

宫鑫 / 电子工业出版社 / 2010-7 / 60.00元

《Google 广告优化与工具》全面地阐述了Google AdWords这个高效广告投放平台的各方面内容,包括Google广告的渠道组成、质量得分、关键词和广告语策略、后期跟踪机制以及各种辅助工具的使用等。引导读者一步步建立一个强大的Google搜索引擎营销投放策略。本书案例丰富、知识面广且层次清晰,适用于各个层次的搜索引擎营销优化人员,不论是电商企业的领导人、工作在账户优化第一线的具体操作者、营......一起来看看 《Google 广告优化与工具》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换