Astaroth se vuelve más poderoso, usando canales de YouTube para C2

  • Astaroth todavía depende de campañas de correo electrónico para su distribución y tiene una ejecución sin archivos, pero también obtuvo tres nuevas actualizaciones importantes.
  • Uno de ellos es el nuevo uso de canales de YouTube para C2 que ayuda a evadir la detección, al aprovechar un servicio de uso común en los puertos de uso común.
  • Es el momento más importante para preocuparse por la seguridad de su computadora. Dirígete a nuestra sección de Ciberseguridad para obtener más información.
  • El mundo digital y tecnológico avanza más rápido que nunca. Lea las últimas historias en nuestro News Hub . 

Astaroth, un troyano especializado en el robo de información confidencial, fue descubierto el año pasado y hasta ahora, se ha convertido en un malware malicioso superior, diversificando su protección contra los controles para evitar que los investigadores de seguridad lo detecten y lo detengan.

El año pasado, Microsoft anunció el descubrimiento de muchas campañas de malware en curso por parte del equipo ATP de Windows Defender. Estas campañas distribuyeron el malware Astaroth sin archivos, lo que lo hace aún más peligroso.

Hablando de campañas de malware, puede cortarlas de raíz con estas herramientas antimalware .

Así es como un investigador de Microsoft Defender ATP describió los ataques :

Estaba haciendo una revisión estándar de telemetría cuando noté una anomalía de un algoritmo de detección diseñado para detectar una técnica específica sin archivos. La telemetría mostró un fuerte aumento en el uso de la herramienta de línea de comandos de Instrumental de administración de Windows (WMIC) para ejecutar una secuencia de comandos (una técnica que MITRE se refiere al  procesamiento de secuencias de comandos XSL), lo que indica un ataque sin archivos

¿Qué está haciendo Astaroth hasta ahora?

En un nuevo informe, Cisco Talos dice que Astaroth todavía depende de las campañas de correo electrónico para su distribución, tiene una ejecución sin archivos y vive de la tierra (LOLbins). La mala noticia es que también obtuvo tres nuevas actualizaciones importantes citadas en el informe de Cisco Talos:

  • Astaroth implementa una serie robusta de técnicas anti-análisis / evasión, entre las más exhaustivas que hemos visto recientemente.
  • Astaroth es eficaz para evadir la detección y garantizar, con una certeza razonable, que solo se está instalando en sistemas en Brasil y no en cajas de arena y sistemas de investigadores.
  • El uso novedoso de los canales de YouTube para C2 ayuda a evadir la detección, al aprovechar un servicio de uso común en los puertos de uso común.

¿Qué es Astaroth y cómo funciona?

Si no lo sabía, Astaroth es un malware conocido centrado en robar información confidencial como credenciales y otros datos personales y enviarla de vuelta al atacante.

Aunque muchos usuarios de Windows 10 tienen un software anti-malware o antivirus, la técnica sin archivos hace que el malware sea más difícil de detectar. Aquí está el esquema de OP sobre cómo funciona el ataque:

Una cosa muy interesante es que ningún archivo, excepto las herramientas del sistema, está involucrado en el proceso de ataque. Esta técnica se llama vivir de la tierra y generalmente se usa para bloquear fácilmente las soluciones antivirus tradicionales.

¿Cómo puedo proteger mi sistema contra este ataque?

En primer lugar, asegúrese de que su Windows 10 esté actualizado . Además, asegúrese de que su Firewall de Windows Defender esté en funcionamiento y tenga las últimas actualizaciones de definición.

No te expongas a riesgos innecesarios. ¡Descubra por qué Windows Defender es la única barrera de malware que necesita!

Si eres usuario de Office 365, te alegrará saber que:

Para esta campaña de Astaroth, Office 365 Advanced Threat Protection ( Office 365 ATP ) detecta los correos electrónicos con enlaces maliciosos que inician la cadena de infección.

Afortunadamente, Astaroth apunta principalmente a Brasil, y los correos electrónicos que recibiría están en portugués. Sin embargo, mantente alerta al respecto.

Como siempre, para más sugerencias o preguntas, busque la sección de comentarios a continuación.

Nota del editor: esta publicación se publicó originalmente en julio de 2019 y desde entonces se ha renovado y actualizado en mayo de 2020 para brindar frescura, precisión y exhaustividad.

Deja un comentario