Microsoft entdeckt Astaroth Backdoor Trojaner: FIleless Malware Attack

Berichten zufolge haben Microsoft-Forscher kürzlich den Astaroth Backdoor-Trojaner entdeckt, der inzwischen zurückgekehrt ist und mithilfe von Techniken, die vom Land leben, die Erkennung der Angriffe für die meisten Malware-Viren noch schwieriger macht. Dank Windows Defender ATP (bekanntes kommerzielles kostenloses Antivirenprogramm Windows Defender) wurde dieses Risiko im Mai und Juni 2019 erkannt. Das Team der Sicherheitsforscher verwendete einen spezifischen Algorithmus, um insbesondere eine Form von dateilosen Angriffen abzufangen. Werfen wir einen Blick auf den offiziellen Bericht von Microsoft Defender ATP.

„Ich habe eine Standardüberprüfung der Telemetrie durchgeführt, als ich eine Anomalie eines Erkennungsalgorithmus bemerkte, mit dem eine bestimmte fileless-Technik erfasst werden soll. In der Telemetrie hat die Verwendung des Windows Management Instrumentation-Befehlszeilentools (WMIC) zum Ausführen eines Skripts stark zugenommen, was auf einen dateilosen Angriff hinweist. “

Die fileless Astaroth-Malware verbreitet sich über böswillige E-Mail-Nachrichten mit Links zu böswilligen .lnk-Dateien

Das Forscherteam von Microsoft stellte fest, dass der Malware-Angriff jetzt unter dem Namen Astaroth Backdoor Trojan gestartet wurde. Dabei handelt es sich um eine massive Spam-Kampagne, die E-Mails mit Links zu Websites versendet, auf denen Dateien mit der Erweiterung .LNK gehostet werden. Diese schädliche E-Mail-Nachricht wird an Zielbenutzer gesendet, um deren persönliche Daten zu stehlen. Dieses böswillige Tool ermöglicht das Herunterladen zusätzlicher Codes und die gegenseitige Weitergabe der Ausgabe.

Allerdings wird der Backdoor-Trojaner als Name von Astaroth heruntergeladen und ausgeführt, der so konzipiert ist, dass er Informationen stehlen, verschiedene Anmeldeinformationen löschen und die gesammelten Daten auf den Remote-Hacker-Server hochladen kann. Werfen wir einen Blick auf die weitere Erklärung von Andrea Lelli zur Malware.

“Mit dem Regsvr32-Tool wird dann eine der dekodierten DLLs geladen, die wiederum andere Dateien entschlüsselt und lädt, bis die endgültige Nutzlast, Astaroth, in den Userinit-Prozess eingespeist wird.”

Hauptmerkmal des Astaroth Backdoor Trojaners: Funktion zum Stehlen von Dateien

Seitdem wurde diese Malware zum ersten Mal 2017 entdeckt und kam 2018 zurück. Das Hauptziel des Angreifers hinter dieser Aktivität ist es, den europäischen und brasilianischen Benutzer auf Basis von Microsoft-Forschern anzugreifen. Dieses Mal wurden 90% der Infektionen in Brasilien gefunden. Das Hauptmerkmal dieser Malware sind dateilose Vorgänge, die auf dem Zielsystem automatisch ausgeführt werden und die Dateien ihrer PCs stehlen. Microsoft empfiehlt, die PCs vor solchen Angriffen zu schützen. Für Anregungen oder Fragen schreiben Sie bitte in das Kommentarfeld unten.