Image Image Image Image Image Image Image Image Image Image

TecnoHotel | Terça-feira, 15 Outubro, 2019

Role para cima

Top

Sem comentários

Microsoft alerta para nova campanha de malware fileless

Microsoft alerta para nova campanha de malware fileless

O Astaroth está a ser distribuído através de spam. Se o utilizador visitar e descarregar um determinado arquivo .LNK, acaba por correr o trojan Astaroth, um conhecido “info-stealer”

A equipa de segurança da Microsoft lançou um aviso sobre campanhas de malware em andamento que estão a distribuir o malware Astaroth através de técnicas fileless e living-off-the-land. Estas técnicas dificultam que as soluções antivírus tradicionais identifiquem os ataques em andamento.

Estes ataques foram detetados pela equipa do Windows Defender ATP, a versão comercial do antivírus gratuito do Windows Defender. Andrea Lelli, membro da equipa em questão, explicou que os alarmes soaram quando detetaram um aumento enorme e repentino na utilização da ferramenta Windows Management Instrumentation Command-line, ou WMIC.

O WMIC é uma ferramenta legítima que acompanha todas as versões modernas do Windows, mas o aumento repentino na utilização sugere um padrão específico para campanhas de malware.

Quando a Microsoft investigou mais atentamente, descobriu uma campanha de malware que consistia numa enorme operação de spam que envia e-mails com um link para um site que hospeda um arquivo de atalho .LNK.

Se os utilizadores descarregarem e executarem o arquivo em questão, iria lançar a ferramenta WMIC e, em seguida, várias outras ferramentas legítimas do Windows, uma após a outra.

Todas as ferramentas descarregam código adicional e passam a sua produção para outra, executando apenas na memória – no que é chamado de execução sem arquivos – e sem salvar nenhum arquivo no disco, dificultando o trabalho das soluções antivírus clássicas, já que não teriam nada para arquivar no disco para digitalizar.

No final, o ataque descarregou e executou o trojan Astaroth, um conhecido “info-stealer” que pode despejar credenciais numa ampla categoria de aplicações.

Fonte:  www.itinsight.pt

Envie um comentário