一種新的Astaroth***病毒被賦予了利用殺毒軟件和服務(wù)中易受***的進(jìn)程的能力。Cybereason的Nocturnus研究團(tuán)隊(duì)周三在一篇博客文章中表示，這種病毒能夠利用網(wǎng)絡(luò)安全軟件中的模塊來竊取在線憑證和個(gè)人數(shù)據(jù)。

Astaroth以其最新的形式出現(xiàn)在巴西和歐洲的垃圾郵件宣傳活動中，截至2018年底，已有數(shù)千受害者設(shè)備被感染。惡意軟件通過.7zip文件附件和惡意鏈接傳播。***偽裝成JPEG、. gif或無擴(kuò)展文件，以避免在機(jī)器上執(zhí)行時(shí)被發(fā)現(xiàn)。

如果垃圾郵件或釣魚消息被成功送達(dá)后發(fā)揮作用，且相關(guān)文件被下載打開，合法的Microsoft Windows BITSAdmin工具則會被用以從命令與控制(C2)服務(wù)器下載完整的有效負(fù)載。

• 初始化后，惡意軟件會啟動一個(gè)XSL腳本，該腳本與C2服務(wù)器建立通道。該腳本經(jīng)過混淆，包含隱藏自殺毒軟件的功能，并負(fù)責(zé)利用BITSAdmin從單獨(dú)的C2服務(wù)器下載有效載荷（包含Astaroth）的過程。

• 然后，特洛伊***的舊版本變種將啟動掃描以查找殺毒程序（尤其是Avast），如果出現(xiàn)在受感染的系統(tǒng)上，惡意軟件就會退出。但據(jù)研究人員的說法，新的Astaroth現(xiàn)在將濫用殺毒程序，將惡意模塊注入其中一個(gè)進(jìn)程。

• 新版本的Astaroth如果檢測到Avast，則會濫用運(yùn)行Avast aswrundll.exe模塊的Avast軟件運(yùn)行時(shí)動態(tài)鏈接庫。這個(gè)可執(zhí)行文件——類似于Microsoft的rundll32.exe——可以通過調(diào)用它們導(dǎo)出的函數(shù)來執(zhí)行dll。這些系統(tǒng)的濫用被稱Lolbin。GAS Tecnologia提供的反欺詐安全程序也以同樣的方式被利用。

2017年，該***首次出現(xiàn)在南美針對個(gè)人的***中。這一惡意軟件能夠竊取與目標(biāo)機(jī)器、密碼、密鑰狀態(tài)數(shù)據(jù)和剪貼板上的任何內(nèi)容有關(guān)的信息。

此外，Astaroth還可以進(jìn)行鍵盤記錄，如果安裝在合適的設(shè)備上，可以攔截呼叫，并終止進(jìn)程。該惡意軟件還利用fromCharCode()去混淆方法隱藏代碼執(zhí)行，這是對以前版本Astaroth的升級。

隨著2019年的到來，我們預(yù)計(jì)WMIC和其他lolbin的使用將會增加，”Cybereason說。“由于lolbin的使用本身就具有巨大的惡意利用潛力，其他許多信息竊取者很可能會采用這種方法將其有效負(fù)載發(fā)送到目標(biāo)機(jī)器上。”

上個(gè)月，Malwarebytes發(fā)布的一項(xiàng)新研究表明，***病毒和與后門相關(guān)的***在過去一年中增加了一倍多。間諜軟件***的頻率也在增加，同期增加了142%。

轉(zhuǎn)載于:https://blog.51cto.com/13520190/2350533

總結(jié)

以上是生活随笔為你收集整理的新Astaroth***病毒可利用杀毒软件窃取数据的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。