Microsoft: Avisa sobre ataques que compartilham o Trojan Astaroth

A equipe de segurança da Microsoft anunciou ontem que descobriu uma série de campanhas de malware que compartilham o malware Astaroth usando técnicas “sem arquivo” e “vivendo fora da terra”. Essas técnicas são preferidas pelos hackers porque são muito difíceis de serem detectadas pelos programas tradicionais de proteção contra vírus.

Os ataques foram identificados pela equipe responsável pelo Windows Defender ATP.

Um membro da equipe disse que a Microsoft ficou preocupada quando notou um aumento enorme e repentino no uso da ferramenta WMIC (Windows Management Instrumentation Command-line).

A ferramenta WMIC é uma ferramenta completamente legal e está disponível em todas as versões modernas do Windows. O que preocupa a empresa, no entanto, é o aumento repentino de seu uso, que geralmente é visto em campanhas maliciosas.

Quando a Microsoft pesquisou mais, descobriu uma campanha maliciosa de spam na qual hackers enviaram e-mails contendo um link. O link levou a um site que hospeda um arquivo de atalho .LNK.

Se os usuários baixarem e abrirem o arquivo, a ferramenta WMIC começará a ser executada e muitas outras ferramentas legais do Windows, uma após a outra.

As ferramentas baixam código adicional e executam exclusivamente na memória (execução sem arquivo). Nenhum disco é armazenado no disco; portanto, o antivírus tradicional não pode detectar código malicioso, pois não há nada no disco a ser verificado.

No final deste processo, Trojan Astaroth é baixado e executado, que rouba credenciais para uma ampla variedade de aplicativos e envia os dados roubados para um servidor remoto.

Esse Trojan específico apareceu pela primeira vez em 2018. No entanto, apareceu recentemente (em fevereiro deste ano) em uma campanha voltada principalmente para usuários europeus e brasileiros.

A campanha de fevereiro (analisada pela Cybereason) é semelhante à descoberta pela Microsoft.

E isso tem como alvo usuários brasileiros. Um porta-voz da Microsoft disse que mais de 95% das “infecções” de Astaroth vieram do Brasil.

Além disso, ambas as campanhas usavam quase as mesmas ferramentas e os mesmos métodos de ataque. Os hackers usaram técnicas sem arquivos e “vivendo fora da terra”.

Na técnica “viver fora da terra”, os hackers usam ferramentas legítimas que já existem no sistema de destino.. Por isso, é difícil de detectar, pois é percebido como uma ferramenta legal.

Essa técnica se tornou extremamente popular nos últimos anos e foi mais desenvolvida.

Isso significa que os programas de proteção precisam ser mais desenvolvidos para que possam detectar ameaças de técnicas sem arquivo e “vivendo fora da terra”.