L'attaque de malware «Grand duc de l'enfer» DLL découvre la menace vicieuse de logiciels malveillants sans fil Astaroth

Microsoft a récemment levé le voile sur la façon dont un programme malveillant très désagréable sans fichiers qui volait des données sans avoir à jamais être installé sur la machine de la victime - Astaroth .

Nommé après un démon du même nom tiré des livres occultes Ars Goetia et The Key of Salomon, censé séduire ses victimes par la vanité et la paresse, ce logiciel malveillant est en circulation depuis 2017. Il était surtout utilisé voler des données entreprises sud-américaines et européennes lors attaques ciblées utilisant le phishing comme point entrée.

Selon Andrea Lelli, chercheuse chez Microsoft Defender APT, cette infection est unique en son genre, car elle a la capacité de s’infiltrer furtivement avec les méthodes de détection de certains programmes antivirus traditionnels.

Selon Lelli, Astaroth est connu pour le vol d’informations personnelles, le keylogging, etc., qui sont ensuite exfiltrés sur un serveur distant. Les attaquants utilisent ensuite les données à des fins de vol financier, en vendant des informations personnelles à autres criminels ou même en se déplaçant latéralement sur des réseaux.

Comment Astaroth Infects Systems

attaque commence généralement quand une victime ouvre un lien dans des courriels créés dans un esprit de hameçonnage - un outil ingénierie sociale utilisé par les attaquants dans le cadre de leurs opérations. Ce type d’escroquerie a pour but d’ouvrir le lien, ce qui ouvre un fichier de raccourci vers les commandes du terminal qui finissent par télécharger et exécuter le code JavaScript qui rend l’infection possible. Le script télécharge et exécute deux fichiers DLL qui gèrent la journalisation et le téléchargement des informations collectées, tout en prétendant être des processus système légitimes.

La procédure fonctionne bien avec les outils de détection basés sur les signatures, car rien n’est téléchargé ou installé à part les fichiers DLL. Cela fait en sorte qu il y a peu de chance de scanner et attraper attaque dans le processus. Cette approche a permis Astaroth de voler sous le radar et se développent en ligne depuis la fin des jours de 2017 sans la confiance habituelle sur téléchargeurs de Troie ou tout exploits de vulnérabilité.

Mesures de détection des programmes malveillants sans fil

Selon Lelli, les solutions antivirus traditionnelles centrées sur les fichiers ont qu une seule chance de détecter attaque: lors du téléchargement des deux fichiers DLL, car exécutable utilisé dans attaque est considéré comme non malveillant. Les DLL utilisent l’obscurcissement de code et varient d’une campagne à l’autre, ce qui signifie que se concentrer sur la détection de ces deux tentatives serait «un piège vicieux», a ajouté Lelli.

Microsoft et d’autres fournisseurs ont dû s’appuyer sur des outils de détection heuristiques, tels que ceux qui surveillent de près l’utilisation du code de ligne de commande WMIC, en appliquant les règles à chaque chargement de fichiers DLL. Le fait de vérifier âge du fichier, empêcher les DLL nouvellement créées de exécuter et utiliser des tactiques similaires permet aux nouveaux outils de sécurité de rattraper les malwares sans fichiers.