Astaroth è un nuovo malware fileless che sfrutta il metodo “live off the land” per attaccare gli utenti di Windows con una tecnica avanzata e persistente che gli consente di eludere tutti i sistemi di controllo installati nel sistema compromesso.
In pratica, Astaroth sfrutta applicazioni di sistema o tool nativi di Windows con scopi malevoli, consentendo ad un attaccante di compiere le proprie azioni criminali basandosi solamente su ciò che “offre la natura” (traduzione letterale dall’inglese: live off the land), cioè il sistema operativo stesso.
Indice degli argomenti
Astaroth: i dettagli tecnici del malware fileless
Astaroth è il protagonista di una nuova massiccia campagna malevola appena individuata dai ricercatori del Microsoft Defender ATP Research Team. Il suo scopo, una volta innestatosi nel sistema target, è quello di rubare informazioni sensibili e le credenziali di accesso delle sue vittime.
Inoltre, grazie ad un modulo keylogger integrato, è anche in grado di intercettare e registrare tutto ciò che viene digitato sulla tastiera.
Giusto per non farsi mancare nulla, Astaroth riesce a sfruttare anche la console Windows Management Instrumentation Command (WMIC), oltre che per raccogliere informazioni sul computer compromesso, sul sistema operativo installato e sulle componenti hardware direttamente dal prompt dei comandi, anche per scaricare e installare in background e furtivamente i payload di altri malware.
Come tutti i malware fileless, anche Astaroth si innesta solo nella memoria di una macchina e, idealmente, non lascia alcuna traccia dopo la sua esecuzione. Il suo scopo è quello di risiedere in aree di sistema volatili come il registro di configurazione di Windows e i processi in-memory.
Astaroth: come avviene l’infezione del sistema
Il processo di infezione di Astaroth avviene in più fasi e inizia con una e-mail di spear-phishing contenente un link dannoso che punta ad un file dannoso in formato LNK. Un doppio clic su questo file avvia l’esecuzione dello strumento WMIC con il parametro /Format che consente il download e l’esecuzione di un codice JavaScript.
Il codice JavaScript, a sua volta, scarica i payload abusando dello strumento da linea di comando di Windows BITSAdmin.
I payload dannosi scaricati in background sono tutti codificati su Base64 e vengono decodificati sui sistemi compromessi sotto forma di quattro DLL usando lo strumento CertUtil integrato in Windows e utilizzato per la gestione dei certificati digitali da prompt dei comandi e per scaricare ed eseguire sul sistema dell’utente codice malevolo.
Le librerie verranno quindi caricate in memoria con l’aiuto dello strumento Regsvr32.
Il primo file DLL caricato in memoria richiamerà la seconda DLL che caricherà riflessivamente la terza DLL. Quest’ultima è progettata per decifrare e iniettare un’altra DLL nel processo Userinit di Windows. Questa quarta DLL, quindi, agirà come un proxy per scaricare e caricare una quinta DLL.
Quest’ultimo file è in realtà una copia del malware fileless Astaroth che, una volta in esecuzione, inizierà a raccogliere ed estrarre vari tipi di informazioni sensibili delle sue vittime inviandole poi ai server di comando e controllo (C2) controllati dai criminal hacker.
Ecco un grafico che riassume la catena infettiva del malware fileless Astaroth.
I consigli per difendersi
Come abbiamo visto, in nessun punto della catena infettiva, neanche nell’ultimo in cui viene eseguito il malware vero e proprio, vengono eseguiti file che non siano strumenti legittimi di Windows. In questo modo, i criminal hacker creatori di Astaroth provano a rendere il malware “invisibile” agli antivirus.
In realtà, proprio l’abuso di tecniche fileless non mette il malware al di fuori della portata o della visibilità del software di sicurezza. Al contrario, alcune delle tecniche utilizzate possono essere così insolite e anomale da attirare l’attenzione immediata sul malware.
In generale, comunque, per difendersi dai malware fileless come Astaroth è sempre utile mantenere i propri sistemi aggiornati, specialmente con l’installazione di patch di sicurezza. Questi aggiornamenti sono in grado di eliminare o limitare la superficie di attacco per un malintenzionato che, ricordiamo, utilizza il metodo “live off the land”. Meno software vulnerabile, minor rischio.
Infine, utilizziamo sempre il buon senso quando controlliamo la posta elettronica e durante la navigazione su Internet. I malware fileless, come nel caso di Astaroth, vengono spesso recapitati con tecniche di social engineering (spear phishing nello specifico). Prestiamo attenzione e chiediamo al dipartimento IT prima di procedere ad aprire un allegato contenuto in una email sospetta o accettare l’esecuzione di software su un sito Web di dubbia reputazione.
