کشف عملیات انتشار تروجان Astaroth توسط مایکروسافت

 

تیم امنیت مایکروسافت به تازگی هشداری را درباره یک عملیات انتشار بدافزار Astaroth منتشر کرده است.

به گزارش خبرنگار حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، به نقل از پایگاه اینترنتی ZDNet، این حملات توسط تیم نرم‌افزار ضدویروس ویندوز به نام Windows Defender ATP شناسایی شده است. حملات زمانی نمایان شدند که میزان استفاده از ابزار خط فرمان مدیریتی ویندوز (WMIC) به طور ناگهانی افزایش یافت. این ابزار قانونی در تمامی نسخه‌های مدرن ویندوز وجود دارد، اما افزایش ناگهانی در استفاده از آن بیانگر یک الگوی خاص حمله بدافزاری است.
در این حملات سایبری یک عملیات اسپم گسترده مشاهده شد که در ایمیل‌های ارسالی یک لینک به یک فایل میانبر LNK وجود داشت. زمانی که کاربر این فایل را دانلود و اجرا کند، ابزار WMIC اجرا خواهد شد و سپس دامنه گسترده‌ای از ابزارهای قانونی ویندوز، یکی پس از دیگری اجرا می‌شوند. این ابزارها کدهای اضافی را اجرا می‌کنند و خروجی یک ابزار به ابزار دیگر منتقل می‌شود که هر فرایند به تنهایی در حافظه و بدون ذخیره‌سازی هیچ فایلی انجام می‌شود. به این فرایند، اجرای بدون فایل گفته می‌شود که این کار شناسایی بدافزار توسط راهکارهای امنیتی سنتی را مشکل می‌کند، زیرا هیچ فایلی در سیستم وجود ندارد که مورد اسکن ضدویروس قرار گیرد.
در انتهای فرایند آلوده‌سازی، تروجان Astaroth دانلود و اجرا می‌شود. این تروجان یک سارق اطلاعات شناخته شده است که می‌تواند اطلاعات احرازهویت تعداد زیادی از برنامه‌ها را دریافت و به یک سرور راه دور ارسال کند. Astaroth اولین بار در سال ۲۰۱۸ شناسایی شد. همچنین تکنیک استفاده شده در این تروجان، در سه سال گذشته مورد توجه توسعه‌دهندگان بدافزارها قرار گرفته است. افزایش استفاده از تکنیک‌های مخفی مانند اجرای بدون فایل، توسعه راهکارهای ضدویروس را از حالت سنتی شناسایی امضای فایل به رویکرد مبتنی بر رفتار تغییر می‌دهد.

منبع : باشگاه خبرنگاران