0 Compartilhamentos 43 Views

Conheça Astaroth: o Cavalo de Troia que se alastra no Brasil

O time de segurança do Microsoft Defender Advanced Threat Protection emitiu um alerta nessa segunda-feira (8) sobre um pico alarmante de atividade do Cavalo de Troia conhecido como Astaroth. Segundo um comunicado enviado à imprensa, o Brasil é alvo de 95% dos incidentes registrados do malware. Usuários domésticos e empresas devem ficar atentos aos novos métodos utilizados para comprometer sistemas e reagir adequadamente.

Uma das principais e mais alarmantes características do Astaroth é sua capacidade de operar a partir da exploração de ferramentas legítimas já existentes no sistema, o chamado ataque living-off-the-land, rodando funções maliciosas na memória sem necessidade de criação de arquivos, o que dificulta sua detecção por soluções antivírus convencionais.

Como a infecção se inicia

Como muitas epidemias eletrônicas recentes, o Astaroth se propaga inicialmente através de um email falso de phishing, contendo um arquivo LNK malicioso. Uma vez que o Brasil é o principal afetado pela campanha viral, a URL utilizada irá empregar nomes que possam enganar o usuário brasileiro, como certidao.htmabrir_documento.htmpedido.htm, Etc. A partir daí, o usuário será redirecionado para um arquivo zip com nome falso (certidao.htm.zip, por exemplo). Dentro dele, chegamos no LNK falso que executa um BAT obfuscado de linha de comando.

O alvo aponta para uma ferramenta geralmente inofensiva existente no sistema operacional Windows, o Windows Management Instrumentation Command-line (WMIC). Apesar de ser um utilitário poderoso do sistema, ele se torna o veículo para a execução de comandos maliciosos a partir do link falso. O link que chega por email dispara o parâmetro “/Format” na ferramenta e dá início ao download e execução de código JavaScript que dará continuidade ao ataque.

É evidente que a primeira e melhor linha de defesa nesse caso é a atenção redobrada com links desconhecidos e emails falsos, uma vez que Astaroth não se aproveita de nenhuma vulnerabilidade do sistema, mas combina o poder da engenharia social com o abuso de uma ferramenta legítima do Windows.

Como o ataque se desenvolve

A partir do download do código viral, Astaroth prossegue sem criar arquivo nenhum no disco rígido, sendo executado inteiramente na memória, a chamada tática fileless, que ludibria soluções de segurança baseadas em assinaturas virais e não em comportamentos anômalos. A partir daí, o Cavalo de Troia utiliza uma cadeia de ferramentas para seus serviços: Bitsadmin, Certutil, Regsvr32, culminando com uma injeção de código no processo Userinit. Confira o diagrama:

O time do Microsoft Defender Advanced Threat Protection destaca que em nenhum momento de seu ciclo de vida o Astaroth utilizou executáveis ou arquivos que não fizessem parte do sistema operacional, camuflando suas atividades como operações legítimas da máquina e se esquivando de detecção.

A partir deste ponto, o malware pode seguir qualquer caminho, seja instalando ameaças convencionais no sistema de suas vítimas ou, como vem sendo relatado, furtando e transmitindo credenciais, senhas e dados privados para cibercriminosos, mantendo sua camuflagem. Foi detectada inclusive a quebra de sigilo de componentes da GAS Tecnologia instalados no sistema para finalidades de proteção de operações bancárias. Antes que o ataque chegue nesse estágio, é fundamental ter uma solução de segurança capaz de detectar o comportamento aberrante, mesmo de utilitários supostamente autorizados e presentes na máquina.

Reconhecendo o perigo

S

De acordo com a Microsoft, o Windows Defender é capaz de identificar as técnicas empregadas por ataques fileless ou living-off-the-land. A descoberta do surto do Astaroth aconteceu a partir do monitoramento de atividades do WMIC. Dados de telemetria enviados voluntariamente por sua base de usuários indicavam um aumento anormal no uso da ferramenta para processamento de scripts, um sinal claro de que algo não estava certo. Em condições normais de uso, não seria registrado esse aumento nos meses de maio e junho.

Uma investigação mais profunda reconheceu o padrão de ataque de Astaroth, uma praga que já havia aparecido anteriormente em fevereiro, mas tomou vulto somente meses depois.

De acordo com investigações conduzidas pela Cybereason nesta campanha de fevereiro, o Astaroth foi capaz até mesmo de se aproveitar de soluções Avast instaladas localmente para capturar informações de seus alvos, ludibriando completamente a segurança dos aplicativos e explorando as ferramentas da mesma forma que faz com componentes do Windows. Na época, a Avast emitiu um posicionamento oficial e assegurou seus usuários que seu ecossistema agora está protegido contra a ameaça:

” Os autores (do Astaroth) fazem uso indevido de um binário confiável para executar o malware, neste caso eles usaram um processo Avast, provavelmente devido ao tamanho de nossa base de usuários no país de destino do Brasil. Uma coisa importante a considerar é que isso não é uma injeção nem uma escalada de privilégios. Os binários do Avast instalados possuem mecanismos de autoproteção para evitar injeções. Neste exemplo, eles estão usando um arquivo Avast para executar um binário de maneira semelhante a que uma DLL usando o rundll32.exe do Windows pode ser executada. Anteriormente, emitimos uma detecção do malware para que todos os usuários do Avast fossem protegidos dessa variante. Além disso, estaremos implementando mudanças em nosso ambiente para garantir que o mesmo processo não possa ser mal utilizado dessa maneira no futuro.”

Segundo a Microsoft, o Windows Defender está habilitado a interromper a cadeia de comandos e exploração de ferramentas do Astaroth em diferentes pontos, impedindo que o Cavalo de Troia atinja seu potencial, efetivamente neutralizando a ameaça. Isso é possível graças a uma mudança de paradigma no cenário dos antivírus, em que soluções mais modernas estão procurando comportamentos anômalos ao invés de apenas confiarem em assinaturas de arquivos. Essa é uma postura que a Microsoft vem perseguindo já tem alguns anos e instigando o resto da indústria a acompanhar.

Você pode se interessar

Como enlouquecer os rastreadores de internet
Dicas
7 visualizações
Dicas
7 visualizações

Como enlouquecer os rastreadores de internet

Carlos L. A. da Silva - 18 de setembro de 2019

Track This é um experimento criado pelo time do Firefox que vai alterar completamente o perfil que os anunciantes tem de você.

A história de Amazônia, o primeiro jogo brasileiro!
Artigos
8 visualizações
Artigos
8 visualizações

A história de Amazônia, o primeiro jogo brasileiro!

Carlos L. A. da Silva - 17 de setembro de 2019

Como um programador iniciante criou um adventure clássico que atravessou décadas.

VIM (Amado ou Odiado?) // Dicionário do Programador
Vídeos
6 visualizações
Vídeos
6 visualizações

VIM (Amado ou Odiado?) // Dicionário do Programador

Thais Cardoso de Mello - 16 de setembro de 2019

Uma poderosa ferramenta, que dispensa apresentações, e vem sendo utilizada por muitas gerações de programadores.

Mais publicações

Promoções de Jogos do Final de Semana (13/09)
Notícias
10 visualizações
10 visualizações

Promoções de Jogos do Final de Semana (13/09)

Carlos L. A. da Silva - 13 de setembro de 2019
Como usar os novos atributos de link do Google
Dicas
11 visualizações
11 visualizações

Como usar os novos atributos de link do Google

Carlos L. A. da Silva - 11 de setembro de 2019