Microsoft Windows 10 advierte sobre malware por robo de datos

Microsoft advierte a los usuarios sobre una vieja amenaza, que se ha reencarnado con nuevos métodos para ser más sigilosos. La banda de malware Astaroth fue detectada y mitigada por Microsoft en julio del año pasado, pero ahora ha resurgido con la explotación. Flujos de datos alternativos (ADS) para esconderse de las banderas y volcar la carga útil del malware para el robo de datos.

Modo de operación

Los métodos de exploración de Astaroth son diferentes, pero no la infección inicial. Este grupo de malware comienza con un correo electrónico de phishing, donde atrae a las víctimas potenciales a hacer clic en un enlace que las redirige a un sitio web que aloja un archivo como.LNK. ¡Esto adjuntaría la carga útil del atacante y se la robaría al sistema host, explotando flujos de datos alternativos (ADS)! Este atributo de archivo permite a un atacante agregar datos a un archivo existente.

Flujo de operaciones del malware Astaroth
Flujo de operaciones del malware Astaroth

Como explicó Hardik Suri, miembro del equipo de investigación de ATP Defender de Microsoft, después de que las víctimas hacen clic en .LNK en el sitio web redirigido, ejecuta una línea BAT ofuscada que descarga un archivo JavaScript en la carpeta Imágenes y ordena explorer.exe para ejecutar la carga recuperada .

Esto tuvo éxito en la exploración de flujos de datos alternativos (ADS) para mantener la confidencialidad. Además, aprovecha ExtExport.exe para cargar Payload. El abuso de estas opciones es legítimo, por lo que el software antivirus no marcará como actividad sospechosa.

Este privilegio les permite descifrar dos complementos, como las herramientas NirSoft MailPassView y NirSoft WebBrowserPassView. El primero es para obtener las contraseñas de los clientes de correo electrónico y el último para recuperar las contraseñas del navegador. Otro abuso es el de BITSAdmin, que se utiliza para descargar el volcado cifrado del servidor C&C del atacante. De lo contrario, los administradores del sistema lo utilizaron para descargar o cargar trabajos y monitorear su progreso.

Mapa de calor de ataques de malware de Astaroth
Mapa de calor de ataque de malware de Astaroth

La declaración inicial del archivo de correo electrónico que le pide que haga clic en el enlace se vería así, «Ver DECLARACIÓN # 56704/2019 Y DECISIÓN LEGAL en el enlace a continuación, a todos los efectos», esto lo llevará al archivo .LNK para obtener más carga útil de volcado. Microsoft alertó a la comunidad sobre esto y dijo que Brasil está siendo un objetivo generalizado.

Fuente: Microsoft