2

Kradnie dane i wykorzystuje… antywirusy. Na Astaroth warto uważać

W internecie zauważono kampanię wycelowaną w Brazylię oraz Europę, w której główną rolę gra Astaroth - trojan, który ładuje do komputera z zainstalowanym Windows inne niebezpieczne mechanizmy, a ponadto jest w stanie wykradać dane. Jednak najciekawsze jest to, w jaki sposób potrafi realizować swoje zadania.

Okazuje się, że Astaroth nie tylko „podpina” się pod z reguły bezpieczne procesy systemu Windows. Jak się okazuje, eksperci wykazali iż jest on w stanie wykorzystać także popularny program antywirusowy Avast oraz produkty firmy GAS Tecnologia. Głównym celem Astaroth jest wykradanie danych użytkowników oraz sprowadzanie do maszyny innych, niebezpiecznych programów.

Przed Astaroth można się obronić – przede wszystkim pamiętając o tym, by za żadne skarby nie otwierać załączników z podejrzanych e-maili. Twórcy ataku, w którym wykorzystano Astarotha uznali, że wysyłka wiadomości z niebezpiecznym załącznikiem będzie doskonałym modelem dystrybucji – i oczywiście się nie pomylili. Ofiara otrzymuje informację z plikiem / archiwum 7zipa. W środku natomiast znajduje się program z rozszerzeniem .lnk, który natomiast tworzy proces wmic.exe. Następnie, Astaroth łączy się z serwerem C&C, z którego pobiera skrypt XSL zawierający w sobie m. in. kolejne instrukcje dla trojana.


Co z infekowaniem programów antywirusowych?

W przypadku Avasta – Astaroth jest w stanie wstrzyknąć złośliwy moduł do pliku aswrundll.exe (Avast Software Runtime Dynamic Link Library). Co ciekawe, trojan wykorzysta to do zebrania informacji o zainfekowanej maszynie oraz ładowania kolejnych modułów, jeżeli będzie to konieczne.

Astaroth jest w stanie rejestrować wszystkie wciśnięcia klawiszy klawiatury (zachowuje się zatem jak typowy keylogger, a stąd już prosta droga do przejęcia haseł, loginów, itp.). Co więcej, cyberzagrożenie jest w stanie również monitorować schowek systemowy. A zatem, jeżeli cokolwiek tam skopiujecie, zostanie to przechwycone przez złośliwy program i zebrane do paczki informacyjnej dla przestępców.

Celem Astaroth jest zebranie jak największych ilości informacji o kontach bankowych ofiary, o skrzynkach e-mail, loginach oraz hasłach do komunikatorów, a także danych przeglądarek internetowych.

Astaroth nie jest jednak zagrożeniem zupełnie nowym. Dopiero jego nowe wcielenie jest w stanie wykorzystać popularny pakiet antywirusowy do tego, aby jeszcze mocniej infiltrować zainfekowaną maszynę. Wcześniej trojan korzystał głównie z modułów systemu Windows, dzięki którym mógł pozostać niezauważony przez mniej skuteczne pakiety bezpieczeństwa. Te płatne, znacznie bardziej rozbudowane będą w stanie prawidłowo rozpoznać Astaroth i zapobiec infekcji.

Jednak najlepszym sposobem na to, aby obronić się przed tym cyberzagrożeniem jest powstrzymywanie się od otwierania niebezpiecznych załączników. Prewencja nie jest specjalnie trudnym zagadnieniem – do tego wystarczy naprawdę odrobina przezorności oraz wyobraźni. Nie wyobrażam sobie, bym mógł otworzyć plik, który pochodzi od nadawcy, którego kompletnie nie znam.