شناسایی قابلیتهای جدید بدافزار Astaroth
به گزارش کارگروه امنیت سایبربان؛ کارشناسان شرکت امنیت سایبری سیسکو تالوس (Cisco Talos) در گزارشی تازه برخی قابلیتهای جدید بدافزار آستاروث (Astaroth) را شناسایی کردند.
آستاروث که نخستین بار در سال 2018 شناسایی شده است، با بهرهگیری از رابط خط فرمان WMIC اقدام به بارگیری و نصب پیلودهای مخرب کرده و کاربران کشورهای اروپایی و برزیل را هدف قرار میدهد.
طبق گزارش سیسکوتالوس، اخیراً این بدافزار قابلیتهای جدیدی کسب کرده و میتواند با استفاده از مکانیسمهای ضد سندباکسی و ضدتحلیلی، شناسایی خود را بسیار سخت کرده و تجزیهوتحلیل عملیات خود را دشوار سازد. آستاروث مثل گذشته حملات خود را با هرزنامهها و تکنیک بدون فایل آغاز میکند.
این بدافزار در بهروزرسانیهای جدید بررسیهای مختلفی انجام میدهد تا مطمئن گردد در کامپیوتر واقعی کار میکند و در کامپیوتر مجازی یا ماشین مجازی و سندباکس فعالیت نمیکند. این امر به بدافزار کمک میکند پیلودهای خود را مخفی نگهداشته و ناشناس باقی بماند.
آستاروث چندین لایه مبهم سازی طی کرده و ابزارها و مکانیسمهای مورداستفاده کارشناسان و محیطهای امن همچون سندباکس را شناسایی و بررسی میکند تا احتمال شناسایی خود را به صفر برساند.
این بدافزار از توضیحات کانالهای یوتیوب نیز جهت مخفی سازی URL سرورهای کنترل خود در آنها بهره میگیرد.
طبق گزارش سیسکو تالوس، تروجان آستاروث پسازاینکه سیستم قربانی را آلوده میکند، به کانال ویژهای در یوتیوب متصل شده و به بخش توضیحات آن می رود.
آستاروث با دستکاری این بخش و رمزگشایی تابع Base64، به URL سرورهای کنترل خود متصل میگردد تا دستورات جدید را از اپراتورهای خود دریافت کرده و دادههای مسروقه را به آنها مخابره نماید.