نسخه جدید تروجان Astaroth با قابلیت بهرهبرداری از ابزارهای امنیتی مشاهده شدهاست.
منبع : مرکز مدیریت راهبردی افتا
نسخه جدید تروجان Astaroth با قابلیت بهرهبرداری از ابزارهای امنیتی مشاهده شدهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، حملات جدیدی توسط تروجان Astaroth مشاهده شدهاست که از نرمافزار ضدویروس Avast و نرمافزار امنیتی توسعهیافته توسط GAS Tecnologia برای سرقت اطلاعات و بارگذاری ماژولهای مخرب بهرهبرداری میکند.
این بدافزار از فرایندهای پردازشی سیستمعامل ویندوز برای انجام فعالیتهای مخرب و انتقال بدنه بصورت مخفیانه، استفاده میکند.
تروجان Astaroth در ابتدا توسط Cofence شناسایی شد. نسخه جدید این بدافزار توسط پژوهشگران Cybereason کشف شد که در این نسخه از ابزار BITSAdmin برای دانلود بدنههای بدافزار استفاده شدهاست. مشابه نسخه قبلی، این نسخه نیز از طریق ایمیلهای اسپم منتقل میشود و آلودگی از طریق فایلهای ۷zip آغاز میشود. این فایل حاوی یک فایل lnk است که یک فرایند پردازشی wmic.exe را آغاز و یک حمله XSL Script Processing را راهاندازی میکند.
بدافزار در ادامه به سرور کنترل و فرمان (C&C) خود متصل میشود و اطلاعات رایانه آلوده را برای آن ارسال میکند. پس از انتقال اسکریپت XSL به سیستم آلوده، تروجان از BITSAdmin استفاده میکند تا یک payload از یک سرور C&C دیگر دریافت کند.
علاوهبر این، بدافزار یک ماژول مخرب را در aswrundll.exe (مربوط به نرمافزار Avast) تزریق میکند و از آن برای دریافت اطلاعات از سیستم آسیبدیده و بارگذاری ماژولهای بیشتر استفاده میکند. همچنین این نسخه از بدافزار Astaroth، به گونهای طراحی شدهاست که فرایند پردازشی unins۰۰۰.exe (مربوط به نرمافزار امنیتی GAS Tecnologia) نیز سوءاستفاده میکند. بدافزار دارای قابلیتهای رخدادنگار کلید (keylogging) و سرقت گذرواژه نیز است.