ИБ-эксперты Cybereason Nocturnus Research обнаружили новую версию малвари Astaroth, которая использует легитимные процессы (в том числе и защитного ПО) в своих целях. Исследователи пишут, что троян использует продукты Avast и GAS Tecnologia для хищения данных и загрузки вредоносных модулей.

Инфостилер Astaroth был замечен специалистами еще в 2018 году. К примеру, о малвари рассказывали аналитики компании Cofense. Тогда, как и сейчас, Astaroth атаковал пользователей в Бразилии и странах Европы, и задействовал для работы легитимные решения, к примеру, эксплуатировал интерфейс командной строки WMIC для тайной загрузки и установки вредоносных пейлоадов.

Схема работы Astaroth

Astaroth способен похищать данные из буфера обмена, перехватывать нажатия клавиш, системные сообщения, похищать учетные данные от различных служб и сервисов, а также стремится собрать как можно больше информации о зараженной системе и финансовых счетах жертвы.

Новая вариация Astaroth, обнаруженная Cybereason Nocturnus Research, похожа на своих «предшественников», и тоже использует в работе легитимную утилиту Windows BITSAdmin для загрузки пейлоадов. Как и в предыдущих случаях, троян распространяется через спамерские письма и доставляется на машину жертвы во вложении (файл .7zip) или через вредоносную ссылку в таком письме.

Также исследователи заметили, что данная версия трояна осуществляет инжект вредоносного модуля в процесс aswrundll.exe (Avast Software Runtime Dynamic Link Library), принадлежащий антивирусу Avast. С его помощью троян извлекает данные с зараженной машины, а также загружает дополнительные модули, если потребуется. Если же Avast в зараженной системе отсутствует, аналогичный «трюк» малварь проделывает с процессом unins000.exe, принадлежащим защитному решению компании GAS Tecnologia.

После публикации отчета Cybereason Nocturnus Research представители Avast связались с исследователями и СМИ и пояснили, что защитное ПО компании не подвергается взлому, а действия преступников не являются инжектами или эскалацией привилегий. Разработчики заверили, что уже изучают проблему и в ближайшее время введут новые защитные меры, чтобы предотвратить подобные злоупотребления в будущем.

Источник: xakep.ru