Se reactiva campaña con una nueva variante del fileless malware Astaroth

17 Julio 2019
Alto

Investigadores de Microsoft alertan de una nueva forma de ataque del troyano “Astaroth”, el cual consiste en enviar correos electrónicos no deseados a la víctima llevando un archivo de acceso directo .LNK. Al descargar este archivo, lo que hace la víctima es ejecutar la herramienta WMIC de Windows con los comandos correspondientes para poder descargar el malware. A partir de esto, puede realizar todas las operaciones a través de la memoria del sistema, debido a que estamos ante un tipo de malware sin archivos no necesita utilizar el disco duro.

El objetivo del malware “Astaroth” es robar credenciales de usuarios y aplicaciones, instalando software en servidores remotos y comprometer los sistemas de las víctimas. El hecho de ser un “fileless malware” hace más compleja su detección por parte de un antivirus que se tenga instalado en el sistema.

La mayoría de los recursos que necesita este malware para ejecutarse, ya están disponibles en los sistemas, recursos legítimos que tiene el propio sistema operativo y que permiten además que pueda enmascararse y ser aún más difícil de detectar. Por su modo de operar y la dificultad para ser detectado, el troyano representa una amenaza crítica, ante la cual debe estar alerta cualquier usuario de Windows. 

Se recomienda lo siguiente:

  • Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Configurar de manera más estricta el anti spam.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
  • Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.
  • Tener activado el UAC (control de cuentas de usuario) de Windows.

Tags: #astaroth #malware #correoelectronico #malspam #fileless #windows


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.