انتشار نسخه جدید تروجان Astaroth

افتانا/ نسخه جديد تروجان Astaroth با قابليت بهره‌برداري از ابزارهاي امنيتي مشاهده شده‌است. حملات جديدي توسط تروجان Astaroth مشاهده شده‌است که از نرم‌افزار ضدويروس Avast و نرم‌افزار امنيتي توسعه‌يافته توسط GAS Tecnologia براي سرقت اطلاعات و بارگذاري ماژول‌هاي مخرب بهره‌برداري مي‌کند. اين بدافزار از فرايندهاي پردازشي سيستم‌عامل ويندوز براي انجام فعاليت‌هاي مخرب و انتقال بدنه بصورت مخفيانه، استفاده مي‌کند. تروجان Astaroth در ابتدا توسط Cofence شناسايي شد. نسخه جديد اين بدافزار توسط پژوهشگران Cybereason کشف شد که در اين نسخه از ابزار BITSAdmin براي دانلود بدنه‌هاي بدافزار استفاده شده‌است. مشابه نسخه قبلي، اين نسخه نيز از طريق ايميل‌هاي اسپم منتقل مي‌شود و آلودگي از طريق فايل‌هاي ۷zip آغاز مي‌شود. اين فايل حاوي يک فايل lnk است که يک فرايند پردازشي wmic.exe را آغاز و يک حمله XSL Script Processing را راه‌اندازي مي‌کند. بدافزار در ادامه به سرور کنترل و فرمان (C&C) خود متصل مي‌شود و اطلاعات رايانه آلوده را براي آن ارسال مي‌کند. پس از انتقال اسکريپت XSL به سيستم آلوده، تروجان از BITSAdmin استفاده مي‌کند تا يک payload از يک سرور C&C ديگر دريافت کند. علاوه‌بر اين، بدافزار يک ماژول مخرب را در aswrundll.exe (مربوط به نرم‌افزار Avast) تزريق مي‌کند و از آن براي دريافت اطلاعات از سيستم آسيب‌ديده و بارگذاري ماژول‌هاي بيشتر استفاده مي‌کند. همچنين اين نسخه از بدافزار Astaroth، به گونه‌اي طراحي شده‌است که فرايند پردازشي unins۰۰۰.exe (مربوط به نرم‌افزار امنيتي GAS Tecnologia) نيز سوءاستفاده مي‌کند. بدافزار داراي قابليت‌هاي رخدادنگار کليد (keylogging) و سرقت گذرواژه نيز است. ما را در کانال «آخرين خبر» دنبال کنيد