報道によると、マイクロソフトの研究者は最近、最近戻ってきたAstaroth Backdoor Trojanを発見し、ほとんどのマルウェア対策ソフトが攻撃を特定するのをさらに困難にしています。 2019年5月から6月にかけてこのリスクを検出したWindows Defender ATP(無料の有名な市販のウイルス対策Windows Defender)に感謝します。セキュリティ研究者チームは特定のアルゴリズムを使用して特にファイルレス攻撃の形態を捉えました。 Microsoft Defender ATPの公式レポートの声明を見てみましょう。
「特定のファイルレス技術を捉えるように設計された検出アルゴリズムからの異常に気づいたとき、私はテレメトリの標準的なレビューをしていました。テレメトリでは、スクリプトを実行するためのWindows Management Instrumentationコマンドライン(WMIC)ツールの使用が急激に増加しており、ファイルレス攻撃を示しています。」
Fileless Astarothマルウェアは、悪質な.lnkファイルへのリンクを含む悪質な電子メールメッセージを介して拡散します。
マイクロソフトの研究者チームは、マルウェア攻撃がAstaroth Backdoor Trojanの名で開始されたことを発見しました。これは、.LNK拡張子が付いたファイルをホストしているWebサイトへのリンクを含む大量のスパムキャンペーンに関与します。それは彼らの個人情報を盗むために標的のユーザにこの悪意のある電子メールメッセージを送ります。この悪意のあるツールは、追加のコードをダウンロードして、互いに出力を渡すことを可能にします。
しかし、それは、情報を盗み、様々な認証情報を投下し、収集したデータをリモートのハッカーサーバにアップロードすることができるような方法で設計されたAstarothの名前としてバックドア型トロイの木馬をダウンロードして実行します。マルウェアに関するAndrea Lelliのさらなる声明を見てみましょう。
「その後、Regsvr32ツールを使用して、デコードされたDLLの1つをロードし、最終のペイロードAstarothがUserinitプロセスに挿入されるまで、他のファイルを復号化してロードします。」
Astaroth Backdoor Trojanの主な機能:ファイル盗用機能
それ以来、このマルウェアは2017年に最初に検出され、2018年に戻ってきました。この活動の背後にある攻撃者の主な目的は、マイクロソフトの研究者に基づくヨーロッパおよびブラジルのユーザーを標的とすることです。このマルウェアの主な特徴は、ターゲットとなるシステムで自動的に実行され、自分のPCのファイルを盗み出すファイルレス操作です。マイクロソフトは、そのような種類の攻撃からPCを安全に保護するように勧めます。ご意見やご質問は、下記のコメント欄にご記入ください。
