El malware Astaroth oculta los servidores de comandos en las descripciones de los canales de YouTube


Durante el año pasado, el troyano infostealer Astaroth se ha convertido en una de las cepas de malware más sigilosas de la actualidad, que contiene una gran cantidad de controles anti-análisis y anti-sandbox para evitar que los investigadores de seguridad detecten y analicen sus operaciones.

Afortunadamente, todas estas innovaciones solo se utilizan para apuntar e infectar a los usuarios en un solo país, a saber, Brasil.

Históricamente, el malware ha apuntado a usuarios brasileños desde que se vio por primera vez en la naturaleza en septiembre de 2018.

IBM Los investigadores fueron los primeros en detectar y analizar el malware, seguidos de Cybereasony luego Microsoft, que analizó su evolución en dos publicaciones de site separadas, en Julio 2019 y Marzo 2020.

En todos estos informes, los investigadores notaron cómo Astaroth lentamente adquirió nuevas características, desarrolló una cadena de infección más compleja y cambió el enfoque en el sigilo más que cualquier otra cosa.

Una gran colección de controles anti-análisis y anti-sandbox.

En un nuevo informe publicado ayer, Cisco Talos dice que Astaroth ha seguido evolucionando. El troyano todavía se basa en campañas de correo electrónico para su distribución, ejecución sin archivos y viviendo fuera de la tierra (LOLbins), pero también ha obtenido dos nuevas actualizaciones importantes.

El primero de ellos es una colección nueva y bastante grande de controles anti-análisis y anti-sandbox. El malware ejecuta estas comprobaciones antes de ejecutarse para asegurarse de que se ejecuta en una computadora true, y no dentro de un entorno de espacio aislado, donde los investigadores de seguridad podrían analizarlo.

astaroth-steps-cheques.png

Imagen: Talos

Al evitar que se analicen sus operaciones, la pandilla Astaroth puede evitar que las cargas útiles se marquen como malware. Cuanto más tiempo permanezca el grupo bajo el radar de las soluciones de seguridad, mayor será la tasa de infección y más datos podrán recopilar de las víctimas y luego vender en línea a otros grupos criminales para obtener ganancias.

«Astaroth es evasivo por naturaleza y sus autores han tomado todas las medidas para garantizar su éxito», dijo el equipo de Cisco Talos.

«Han implementado un complejo laberinto de controles anti-análisis y anti-sandbox para evitar que el malware sea detectado o analizado. Comenzando con señuelos efectivos e impactantes, capa tras capa de ofuscación, todo antes de que alguna intención maliciosa fuera expuesta. Luego finalmente procede a través de un riguroso conjunto de controles para las herramientas y técnicas de los investigadores y las tecnologías de sandbox por igual.

«Este malware es, por diseño, doloroso de analizar», agregaron los investigadores.

Oculta los servidores de C&C en YouTube

Y si el malware no fue lo suficientemente difícil de analizar, detener sus comunicaciones también es una tarea difícil. Después de su actualización más reciente, Astaroth ahora usa descripciones de canales de YouTube para ocultar la URL de sus servidores de comando y manage (C2).

Según Talos, después de que Astaroth infecta a una víctima, el troyano se conecta a un canal de YouTube, desde donde recupera el campo de descripción del canal.

El campo contiene texto encriptado y codificado en base64 con las URL de su servidor de comando y regulate. Después de decodificar el texto, Astaroth se conecta a estas URL para recibir nuevas instrucciones y enviar información robada para su almacenamiento futuro.

astaroth-youtube.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/05/12/b071532c-d0e2-4c95-9991-783489338e13/astaroth-youtube.png

Uno de los canales de YouTube que oculta los servidores de C&C de Astaroth

Imagen: ZDNet

astaroth-youtube-2.png "src =" https://zdnet3.cbsistatic.com/hub/i/2020/05/12/eaee008a-af24-4926-849b-19adfeaa6dde/astaroth-youtube-2.png

Imagen: Talos

Este método de ocultar la ubicación del servidor de C&C en YouTube no es nuevo. Se ha utilizado antes en 2015 por Janicab y en 2019 por Stantinko.

Sin embargo, en Astaroth, este método de ocultar la URL del servidor de C&C en YouTube es solo uno de los tres métodos redundantes de descubrir y conectarse a los servidores de C&C, dijo Talos, mostrando una vez más el mayor grado de sofisticación de Astaroth en comparación con otras campañas de malware.

Esto significa que incluso si YouTube elimina los canales, Astaroth cambia a otro sistema para obtener sus servidores de C&C.

Por ahora, este troyano solo está activo en Brasil. Si alguna vez se desata en todo el mundo, el troyano podría causar una gran cantidad de infecciones debido a su complejidad, pero también debido a su velocidad rápida a la que evoluciona el troyano.

Talos señaló que en el pasado, Astaroth siempre ha tratado de mantenerse un paso adelante de las empresas de seguridad tanto como sea posible al cambiar a una nueva infraestructura a intervalos regulares.



Enlace a la noticia first