- A Cisco Talos detalha campanha de roubo de
informações, nomeada de Astaroth, que tem mirado o Brasil com uma variedade de
iscas sofisticadas e complexas, incluindo temas como COVID-19, nos últimos nove
a 12 meses.- Cheio de técnicas de ofuscação e
anti-análise/evasão, Astaroth inibe tanto a detecção quanto a análise de sua
família de malware.- Extremamente criativo, Astaroth utiliza as descrições dos canais do
YouTube para comunicações de comando e controle codificadas e criptografadas
(C2).
Como se já não bastasse o momento difícil que estamos vivendo atualmente, o
cenário digital também traz novas ameaças virtuais, repleto de famílias de
malwares que estão bombardeando constantemente empresas e indivíduos no Brasil.
A maioria dessas ameaças tem uma coisa em comum: dinheiro. Muitos desses golpes
geram receita para os criminosos online que são motivados financeiramente, ao
adquirirem acesso a dados armazenados em sistemas que podem ser monetizados de
diversas maneiras. Para maximizar os lucros, alguns autores de malware e/ou
distribuidores de malware vão a extremos para evitar a detecção,
especificamente para evitar ambientes de análise automatizados e analistas de
malware que podem estar depurando-os. A campanha de malwares, Astaroth, são um
exemplo de toda teoria sobre tipos e técnicas de evasão aplicados na prática.
Os responsáveis por estas campanhas de malware estavam tão preocupados com a
evasão que não incluíam apenas uma ou duas verificações anti-análise, mas
dezenas de verificações, incluindo aquelas raramente vistas na maioria dos
malwares de commodities. Esse tipo de campanha destaca o nível de sofisticação
que alguns cibercriminosos motivados financeiramente conseguiram nos últimos
anos. Esta campanha tem como alvo exclusivo o Brasil, e conta com ataques
projetados especificamente aos cidadãos brasileiros, incluindo o status
COVID-19 e Cadastro de Pessoas Físicas (CPF).
Além disso, o “Dropper” programa usado para baixar o conteúdo principal usa
técnicas sofisticadas e muitas camadas de ofuscação e evasão antes mesmo de
entregar o conteúdo final malicioso. Há outra série de verificações, uma vez
que a carga é entregue, para garantir que o arquivo será executado em sistemas
localizados no Brasil e não num pesquisador ou algum outro sistema de segurança
como Sandboxing. Além disso, este malware usa novas técnicas para atualizações
de comando e controle via YouTube, e uma infinidade de outras técnicas e
métodos, tanto novos quanto antigos.
Esta análise, fornecerá uma profunda pesquisa da família de malware
Astaroth e detalhará uma série de campanhas que o time da Talos observou nos
últimos nove a 12 meses. Isso incluirá um detalhado passo a passo do ataque
desde a mensagem inicial de spam, até os mecanismos Dropper, e finalmente as
técnicas de evasão que a Astaroth implementou. Esse malware é o mais esquivo
possível e provavelmente continuará sendo uma dor de cabeça tanto para usuários
quanto para defensores no futuro. Além disso, essa família de malware
está sendo atualizada e modificada a uma taxa alarmante, implicando que seu
desenvolvimento ainda está sendo ativamente melhorado. Esses adversários também
estão se movendo rapidamente, trocando quase que semanalmente por novos golpes,
para se manterem ágeis e à frente dos defensores.
Essas ameaças financeiramente motivadas continuam a crescer em sofisticação, à
medida que os cibercriminosos estão encontrando mais maneiras de gerar grandes
somas de dinheiro e lucros. Astaroth é apenas mais um exemplo disso e a
evasão/anti-análise será primordial para o sucesso das famílias de malware no
futuro.
As organizações precisam ter várias camadas de tecnologia e controles
para minimizar os possíveis impactos negativos destas ameaças. Para isso
é importante atribuir tecnologias de segurança que cobrem Endpoint, Domínios,
DNS, web e rede. Ao colocar essas camadas de segurança nestes tipos de
tecnologias, as organizações aumentarão a probabilidade de que malwares
evasivos e complexos como o Astaroth sejam rapidamente detectados. Para
proteger a sua empresa, clique aqui agora mesmo e teste as principais
soluções de segurança da Cisco.
