攻防最前线：新型木马Astaroth利用杀毒软件窃取数据

一种新的Astaroth木马病毒被赋予了利用杀毒软件和服务中易受攻击的进程的能力。Cybereason的Nocturnus研究团队周三在一篇博客文章中表示，这种病毒能够利用网络安全软件中的模块来窃取在线凭证和个人数据。

Astaroth以其最新的形式出现在巴西和欧洲的垃圾邮件宣传活动中，截至2018年底，已有数千受害者设备被感染。恶意软件通过.7zip文件附件和恶意链接传播。木马伪装成JPEG、.gif或无扩展文件，以避免在机器上执行时被发现。

如果垃圾邮件或钓鱼消息被成功送达后发挥作用，且相关文件被下载打开，合法的Microsoft Windows BITSAdmin工具则会被用以从命令与控制(C2)服务器下载完整的有效负载。

• 初始化后，恶意软件会启动一个XSL脚本，该脚本与C2服务器建立通道。该脚本经过混淆，包含隐藏自杀毒软件的功能，并负责利用BITSAdmin从单独的C2服务器下载有效载荷（包含Astaroth）的过程。
• 然后，特洛伊木马的旧版本变种将启动扫描以查找杀毒程序（尤其是Avast），如果出现在受感染的系统上，恶意软件就会退出。但据研究人员的说法，新的Astaroth现在将滥用杀毒程序，将恶意模块注入其中一个进程。
• 新版本的Astaroth如果检测到Avast，则会滥用运行Avast aswrundll.exe模块的Avast软件运行时动态链接库。这个可执行文件——类似于Microsoft的rundll32.exe——可以通过调用它们导出的函数来执行dll。这些系统的滥用被称Lolbin。GAS Tecnologia提供的反欺诈安全程序也以同样的方式被利用。

2017年，该木马首次出现在南美针对个人的攻击中。这一恶意软件能够窃取与目标机器、密码、密钥状态数据和剪贴板上的任何内容有关的信息。

此外，Astaroth还可以进行键盘记录，如果安装在合适的设备上，可以拦截呼叫，并终止进程。该恶意软件还利用fromCharCode()去混淆方法隐藏代码执行，这是对以前版本Astaroth的升级。

随着2019年的到来，我们预计WMIC和其他lolbin的使用将会增加，”Cybereason说。“由于lolbin的使用本身就具有巨大的恶意利用潜力，其他许多信息窃取者很可能会采用这种方法将其有效负载发送到目标机器上。”

上个月，Malwarebytes发布的一项新研究表明，木马病毒和与后门相关的攻击在过去一年中增加了一倍多。间谍软件攻击的频率也在增加，同期增加了142%。

声明：本文来自黑客视界，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。