Observando la seguridad en la red

Te traemos las últimas noticias sobre ciberseguridad y ciberataques

Actualidad_337228104_96704695_1024x576.jpg

Astaroth Trojan explota a Avast para robar información

Una nueva cepa de Astaroth Trojan dirigida a Brasil y países europeos está explotando actualmente el software de seguridad y antivirus Avast desarrollado por GAS Technology para robar información y cargar módulos maliciosos.

De acuerdo con el equipo Nocturnus de Cybereason que descubrió la nueva cepa de Astaroth, al igual que las cepas anteriores, el malware utiliza procesos legítimos e integrados del sistema operativo Windows para realizar actividades maliciosas y entregar una carga útil sin ser detectado, pero también hace uso de herramientas conocidas e incluso software antivirus para ampliar sus capacidades.

El troyano de Astaroth y el ladrón de información fueron detectados previamente por Cofense como parte de una campaña de malware que afecta a Europa y especialmente a Brasil, y es conocido por abusar de binarios como la interfaz de línea de comandos de Windows Management, la consola de instrumentación (WMIC) para descargar e instalar subrepticiamente cargas útiles maliciosas en segundo plano.

La nueva variedad descubierta por los investigadores de Cybereason ahora también usa la  utilidad legítima Windows BITSAdmin (diseñada para ayudar a crear trabajos de descarga o carga y monitorear su progreso) para descargar cargas útiles de malware. Esta variante de Astaroth se distribuye a través de campañas de spam al igual que las versiones anteriores, y la infección comienza con un archivo .7zip entregado al destino en forma de un archivo adjunto de correo electrónico o hipervínculo. El archivo malicioso contiene un archivo .lnk que generará un proceso wmic.exe que inicializará un ataque de procesamiento de scripts XSL.

Posteriormente, el malware se conecta a un servidor de comando y control (C2) y filtra información sobre la computadora infectada. Después de descargar la secuencia de comandos XSL cifrada en la máquina infectada, el troyano usará BITSAdmin para capturar una carga útil de otro servidor C2, cuidadosamente oculto como imágenes o archivos sin extensiones que contengan varios módulos Astaroth.

Astaroth también inyecta un módulo malintencionado en la biblioteca de vínculos dinámicos Avast y lo utiliza para recopilar información sobre la máquina comprometida y para cargar módulos adicionales cuando sea necesario. Además, la nueva variante del troyano Astaroth también está diseñada para explotar el proceso unins000.exe de una solución de seguridad desarrollada por GAS Technology que también utilizará para rastrear y recopilar información personal del usuario sin ser detectado si Avast no está presente en la computadora infectada.

Finalmente, Cybereason encontró que, una vez que la campaña se haya infiltrado con éxito, registrará las pulsaciones de los usuarios, interceptará las llamadas de su sistema operativo y recopilará toda la información guardada en el portapapeles de forma continua. Con estos métodos, Astaroth descubre cantidades significativas de información personal de las cuentas bancarias de los usuarios y las cuentas comerciales. Además, junto con NetPass, recopila las contraseñas de inicio de sesión de los usuarios en toda la placa sin ser detectadas, incluidas las computadoras remotas en la LAN, las contraseñas de cuentas de correo, las cuentas de Messenger, las contraseñas de Internet Explorer y otras.

Diarleth G.Astaroth Trojan explota a Avast para robar información