Un trojan déguisé en image parvient à infecter les PC et à éviter d'être reconnu par les antivirus. Voici comment fonctionne Astaroth
Une nouvelle campagne de piratage est en cours ces jours-ci au Brésil et en Europe avec le trojan Astaroth, déjà connu des experts en sécurité informatique car il a infecté des milliers d'ordinateurs dans le monde entier au cours des trois derniers mois de 2018. L'infection commence par une fausse image, diffusée par e-mail.
La nouvelle souche du trojan a été découverte par les chercheurs de Cybereason et utilise également BITSAdmin, un utilitaire officiel de Microsoft Windows conçu pour faciliter les opérations de téléchargement ou d'upload, mais utilisé par le trojan pour télécharger du code malveillant. Cette variante d'Astaroth est distribuée par le biais de campagnes de spam et l'infection commence lorsque l'utilisateur ouvre une archive .7zip jointe à l'e-mail ou insérée dans un lien ou une image Gif ou Jpg. L'archive malveillante contient un fichier .lnk qui déclenche l'infection proprement dite. Ensuite, le logiciel malveillant se connecte à un serveur et commence à voler des informations sur l'ordinateur infecté. Il utilise ensuite BITSAdmin pour aller chercher d'autres images et fichiers sur un autre serveur.
Immunité à l'antivirus
La chose très dangereuse avec Astaroth, et la nouveauté par rapport aux infections précédentes basées sur ce trojan, est sa capacité à modifier, en injectant du code malveillant, un fichier .dll utilisé par l'antivirus Avast. Après avoir infecté ce fichier, le cheval de Troie est en mesure de l'utiliser pour obtenir plus d'informations sur la machine sur laquelle il s'exécute et télécharger plus de code. Il parvient également à se dissimuler en cas d'analyse virale Avast.
Ce que fait Astaroth
L'équipe de recherche de Cybereason a découvert qu'une fois que le trojan a réussi à s'infiltrer, il enregistre les frappes des utilisateurs, intercepte leurs appels au système d'exploitation et collecte en permanence toutes les informations enregistrées dans le presse-papiers. Grâce à ces méthodes, il recueille des quantités importantes d'informations personnelles, notamment des informations sur les comptes bancaires de l'utilisateur. Et si le PC infecté est connecté à un réseau local, Astaroth parvient également à collecter les mots de passe d'accès au réseau de tous les autres ordinateurs connectés au même réseau local, les mots de passe des comptes de messagerie, les données des comptes Messenger, les mots de passe d'Internet Explorer.
Astaroth a fait sa première apparition en ligne en 2017, puis a infecté des milliers de PC notamment en Amérique du Sud. Il a connu plusieurs évolutions avant d'arriver à celle que nous connaissons actuellement. Une version antérieure, par exemple, cachait dans de faux e-mails d'Amazon contenant des confirmations de commandes que l'utilisateur n'a jamais passées. Mais si l'utilisateur cliquait sur les liens contenus dans l'email, l'infection commençait.