O Trojan Astaroth usou processos do Cloudflare para contornar o software AV

Uma nova campanha maliciosa está distribuindo ativamente uma nova variante do Astaroth Trojan, abusando da plataforma de computação sem servidor Cloudflare Workers para evitar a detecção e bloquear tentativas de análise automatizada.

Os Cloudflare Workers são usados pelos operadores da Astaroth como parte de um processo de infecção em três estágios, começando com um email de phishing que vem com um anexo HTML contendo código JavaScript ofuscado e vinculando a um domínio que fica atrás da infraestrutura da Cloudflare.

Processos do Cloudflare para entrega de carga útil

Esse domínio é usado para fornecer vários tipos de cargas úteis no formato JSON, dependendo da localização do alvo, para permitir que os atacantes alterem rapidamente os arquivos maliciosos para vários destinos e para evitar serem bloqueados com base nos tipos de objetos enviados aos computadores das vítimas em potencial

“Para gerar o segundo estágio do ataque, o JSON da URL é analisado, convertido do buffer Base64 para Array, gravado no armazenamento de blobs do navegador, renomeado para corresponder ao nome do arquivo HTML, um link é criado e clicado automaticamente para faça o download no navegador do usuário “

descobriu Afrahim.

A carga útil salva é um arquivo ZIP com o destino trocado para redirecionar para um URL que aponta para o conteúdo de um script criado usando o editor de script do painel Cloudflare Workers.

A parte mais importante aqui é que a URL do painel de visualização usada para carregar o script pode ser alterada com valores aleatórios, produzindo “um número grande ou ilimitado de nome de host que pode executar um código específico que as ferramentas tradicionais de bloqueio ou anti-bot irão falhar em pegar. “

Além disso, mesmo que “o Cloudflare Workers não tenha capacidade para hospedar arquivos, mas ele pode redirecionar o tráfego de seus Workers para um servidor estático de hospedagem de arquivos sem revelar sua identidade”, concluiu Afrahim.

Em seguida, um script é salvo no computador da vítima a partir da URL de visualização do editor de scripts do painel Cloudflare Workers, que é executada usando o processo Windows Script Host (Wscript) e baixa a carga útil final descartada como parte do terceiro estágio do processo de infecção.

A carga útil do Astaroth será baixada usando um dos “dez links de nós do Cloudflare Worker aleatórios e únicos”, cada um com 900 milhões de variações possíveis de URL, enquanto em máquinas de 32 bits – geralmente um sinal de que o malware chegou a uma caixa de proteção de análise de malware – “é usado um repositório particular do Google Storage com um link estático” para evitar a detecção da infraestrutura baseada no Cloudflare.

O terceiro estágio usa o carregamento lateral da DLL para ocultar processos legítimos e carrega uma DLL mal-intencionada que se comunica com os perfis do YouTube e do Facebook controlados por invasores para obter os endereços finais do servidor de comando e controle (C2), descobertos por Renato Marinho, da Morphus Labs, em uma análise de uma variante Astaroth quase idêntica.

Como Afrahim concluiu no final de sua redação, que traz muito mais detalhes sobre o funcionamento interno dessa nova variante Astaroth, os atores que operam esta campanha usam o Cloudflare Workers para:

• Ter uma rede resiliente, eficiente e segura para espalhar cargas úteis.
• Confie em nomes de domínio e serviços confiáveis ​​para expandir a cobertura.
• Esconda-se das caixas de areia e interrompa as ferramentas de análise automatizada.
• Uma maneira inovadora de gerar URLs de carga útil aleatória para cada execução.
• Reconstrua a operação com facilidade em caso de comprometimento.
Trojan ladrão de informações em evolução

O Trojan Astaroth foi detectado anteriormente pela Cofense como parte de uma campanha maliciosa que visa exclusivamente vítimas brasileiras em 2018, com cerca de 8.000 máquinas potencialmente comprometidas em uma única semana de ataques.

O Astaroth é capaz de roubar informações confidenciais, como credenciais do usuário, com a ajuda de um módulo de registro de chaves, via interceptação de chamadas do sistema operacional e usando o monitoramento da área de transferência.

O Astaroth também é conhecido por abusar de binários vivos fora da terra (LOLbins), como a interface da linha de comando do Windows Management Instrumentation Console (WMIC), para baixar e instalar furtivamente cargas úteis maliciosas em máquinas comprometidas.

Em uma campanha de fevereiro identificada pela Cybereason, uma nova variante Astaroth foi vista injetando um módulo malicioso no aswrundll.exe Biblioteca de vínculo dinâmico Avast Software Runtime do antivírus Avast, que é usado posteriormente para coletar informações sobre os dispositivos infectados e carregar módulos extras. .

A equipe de pesquisa do Microsoft Defender ATP também analisou uma campanha Astaroth ativa em maio e junho, e descobriu que usa um processo de infecção em vários estágios e várias técnicas sem vida para infectar furtivamente os sistemas de seus alvos.

Deixe abaixo seu comentário em relação a este artigo. E não deixe de nos visitar em: https://www.deltaservers.com.br/ para conhecer todas as soluções corporativas disponível para o seu negócio.

Author: Lucas Alves

Deixe uma resposta

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.