Пятница, 15 января, 18:10
дома безопасность Троян Astaroth: скрывает командные серверы в описании каналов Youtube

Троян Astaroth: скрывает командные серверы в описании каналов Youtube

В прошлом году троян Astaroth infostealer был признан одним из самых "тихих" вредоносных программ, содержащих серию антианалитических и анти-песочниц, чтобы отпугнуть исследователей безопасность определить и проанализировать его функции. Однако этот троян, похоже, нацелен на пользователей только в одной стране - Бразилии. В частности, он был нацелен на бразильских пользователей, так как он был впервые замечен в сентябре 2018 года.

Ее исследователи IBM были первыми, кто обнаружил и проанализировал троянский информационный агент Astaroth, а затем Cybereason и Microsoft, В частности, Microsoft проанализировала эволюцию этого вредоносных программ в двух отдельных блогах, один в июле 2019 года и один в марте 2020 года. Во всех этих отчетах исследователи отметили, как троян Astaroth постепенно приобретал новые функции, развивал более сложную цепочку заражений, а также как он превратился в «скрытую» «Вредоносное ПО. В новом отчете Cisco Talos указал, что троян Astaroth продолжает развиваться. Кроме того, троян по-прежнему основан на кампаниях e-mail и в LOLbins, но также приобрел два важных новых элемента. Первым из них является новая и довольно большая коллекция средств контроля антианализа и песочницы. В частности, вредоносные программы выполняют эти проверки перед выполнением, чтобы убедиться, что они выполняются на реальном компьютере, а не в тестовой среде, где они могут быть проанализированы исследователями безопасности.

Избегая анализа функций троянских программ, банда за информационным агентом Astaroth может избежать маркировки Полезная нагрузка как вредоносное ПО. Чем больше команда остается в поле зрения решений по обеспечению безопасности, тем выше уровень заражения и тем больше данных она может собирать у жертв, а затем продавать их в Интернете другим преступным группам. По словам Cisco Talos, команда Astaroth предприняла все необходимые шаги, чтобы помочь обеспечить успех троянца. В частности, он внедрил сложный лабиринт средств антианализа и защиты от песочницы, чтобы предотвратить обнаружение или анализ вредоносных программ. Затем он проверяет инструменты и методы как исследователей, так и технологий. песочница. Таким образом, по мнению исследователей, это вредоносное ПО очень сложно обнаружить, не говоря уже о анализе. Однако, даже если анализировать этого трояна было не так уж сложно, прервать его «медиа» - тоже непростой процесс. В частности, Astaroth теперь использует описания каналов YouTube, чтобы скрыть URL-адреса своих серверов управления и контроля (C2).

Согласно Cisco Talos, после того, как троянец Astaroth заражает жертву, он подключается к каналу YouTube, откуда он получает поле описания канала. Поле содержит зашифрованный и закодированный в base64 текст с адресами URL командования и управления сервер оф. После декодирования текста Астарот подключается к этим URL-адресам, чтобы получить новые инструкции и отправить украденную информацию для будущего хранения. В этом методе сокрытия местоположения C&C сервера на YouTube нет ничего нового. До 2015 года он использовался Janicab, а в 2019 году - Stantinko. Однако в Astaroth этот метод сокрытия URL-адреса C&C сервера от YouTube является лишь одним из трех избыточных методов обнаружения и подключения к C&C серверам, заявила Cisco Talos, что еще раз демонстрирует высочайшую степень компетентности Astaroth. по сравнению с другими вредоносными кампаниями. Это означает, что даже если YouTube удалит их каналы, Astaroth переключается на другую систему, чтобы приобрести свои C&C серверы. В настоящее время этот троян активен только в Бразилии. Однако, если ему удастся распространиться по миру, он может вызвать ряд серьезных инфекций из-за своей сложности, а также из-за высокой скорости его развития. Троян Astaroth всегда старается опережать охранные компании на шаг, регулярно переключаясь на другую инфраструктуру.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Pohackontas
Pohackontashttps://www.secnews.gr
Каждое достижение начинается с решения попробовать.

ЖИВЫЕ НОВОСТИ

Canon позволяет делать снимки из космоса

Вместо того, чтобы выпускать новые камеры для выставки CES 2021, Canon делает нечто иное: позволяет делать снимки из космоса ...

Википедия против больших технологий: кто борется с дезинформацией?

Поскольку день выборов превратился в неделю выборов в США, Facebook, Twitter и YouTube пытались предотвратить ...
00: 02: 36

Tesla: Призвано отозвать автомобили из-за проблемных экранов

С сенсорным экраном в некоторых автомобилях Tesla, похоже, есть проблема, которая может ...

Программы-вымогатели ответственны за половину всех утечек данных в больницах

Почти половина утечек данных, произошедших в больницах и в более широком секторе здравоохранения, связана с атаками программ-вымогателей, ...

Астрономы только что нашли самую старую огромную черную дыру

Квазар был обнаружен в темном уголке космоса - на расстоянии более 13,03 миллиарда световых лет - и содержит ...

Какие самые лучшие и самые доступные телефоны 5G на 2021 год

Скоро рынок будет наводнен устройствами 5G среднего уровня. Все происходящее будет по-настоящему увлекательным: вы сможете ...

Проверенные учетные записи Twitter в мошенничестве с криптовалютой с именем Илона Маска нарушены!

В последнее время хакеры нарушают проверенные учетные записи Twitter в мошенничестве с раздачей криптовалюты, в котором используется имя генерального директора ...

Classiscam: Мошенники «подделывают» бренды и обманывают пользователей европейских рынков!

Десятки преступных группировок публикуют фейковые объявления на популярных онлайн-рынках, чтобы привлечь ничего не подозревающих пользователей на «мошеннические» коммерческие сайты или фишинг ...

iOS 14.4: отображает уведомление о ремонте с использованием неоригинальных камер.

Начиная с iPhone 11, Apple добавила уведомление в iOS, которое сообщает пользователю, когда на устройстве есть ...

Facebook: подает в суд на разработчиков расширений Chrome за кражу данных

Facebook подал иск против двух граждан Португалии за разработку расширений Chrome, которые собирали данные от пользователей Facebook.