انتشار نسخه جدید تروجان Astaroth
کد مطلب: 15095
تاریخ انتشار : يکشنبه ۲۸ بهمن ۱۳۹۷ ساعت ۱۶:۵۸
 
نسخه جدید تروجان Astaroth با قابلیت بهره‌برداری از ابزارهای امنیتی مشاهده شده‌است.
انتشار نسخه جدید تروجان Astaroth
 
 
Share/Save/Bookmark
نسخه جدید تروجان Astaroth با قابلیت بهره‌برداری از ابزارهای امنیتی مشاهده شده‌است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، حملات جدیدی توسط تروجان Astaroth مشاهده شده‌است که از نرم‌افزار ضدویروس Avast و نرم‌افزار امنیتی توسعه‌یافته توسط GAS Tecnologia برای سرقت اطلاعات و بارگذاری ماژول‌های مخرب بهره‌برداری می‌کند.

این بدافزار از فرایندهای پردازشی سیستم‌عامل ویندوز برای انجام فعالیت‌های مخرب و انتقال بدنه بصورت مخفیانه، استفاده می‌کند.

تروجان Astaroth در ابتدا توسط Cofence شناسایی شد. نسخه جدید این بدافزار توسط پژوهشگران Cybereason کشف شد که در این نسخه از ابزار BITSAdmin برای دانلود بدنه‌های بدافزار استفاده شده‌است. مشابه نسخه قبلی، این نسخه نیز از طریق ایمیل‌های اسپم منتقل می‌شود و آلودگی از طریق فایل‌های ۷zip آغاز می‌شود. این فایل حاوی یک فایل lnk است که یک فرایند پردازشی wmic.exe را آغاز و یک حمله XSL Script Processing را راه‌اندازی می‌کند.

بدافزار در ادامه به سرور کنترل و فرمان (C&C) خود متصل می‌شود و اطلاعات رایانه آلوده را برای آن ارسال می‌کند. پس از انتقال اسکریپت XSL به سیستم آلوده، تروجان از BITSAdmin استفاده می‌کند تا یک payload از یک سرور C&C دیگر دریافت کند.

علاوه‌بر این، بدافزار یک ماژول مخرب را در aswrundll.exe (مربوط به نرم‌افزار Avast) تزریق می‌کند و از آن برای دریافت اطلاعات از سیستم آسیب‌دیده و بارگذاری ماژول‌های بیشتر استفاده می‌کند. همچنین این نسخه از بدافزار Astaroth، به گونه‌ای طراحی شده‌است که فرایند پردازشی unins۰۰۰.exe (مربوط به نرم‌افزار امنیتی GAS Tecnologia) نیز سوءاستفاده می‌کند. بدافزار دارای قابلیت‌های رخدادنگار کلید (keylogging) و سرقت گذرواژه نیز است.
مرجع : مرکز مدیریت راهبردی افتا