Malware Fonte foto: Shutterstock
SICUREZZA INFORMATICA

Astaroth, la falsa immagine che ti ruba i dati

Un trojan mascherato da immagine riesce a infettare PC ed evitare di essere riconosciuto dagli antivirus. Ecco come funziona Astaroth

14 Febbraio 2019 - In questi giorni è in corso, in Brasile e in Europa, una nuova campagna hacker con il trojan Astaroth, già noto agli esperti di sicurezza informatica perché ha infettato migliaia di computer nel mondo negli ultimi tre mesi del 2018. L’infezione parte da una falsa immagine, diffusa tramite email.

Il nuovo ceppo del trojan è stato scoperto dai ricercatori di Cybereason e utilizza anche BITSAdmin, una utility ufficiale di Microsoft Windows progettata per facilitare le operazioni di download o upload, ma usata dal trojan per scaricare codice maligno. Questa variante di Astaroth viene distribuita attraverso campagne email di spam e l’infezione inizia con l’apertura da parte dell’utente di un archivio in formato .7zip allegato alla email o inserito in un link o, appunto, in una immagine Gif o Jpg. L’archivio dannoso contiene un file .lnk che fa iniziare l’infezione vera e propria. Successivamente, il malware si connette a un server e inizia a rubere le informazioni sul computer infetto. Poi usa BITSAdmin per prelevare altre immagini e file da un altro server.

Immune agli antivirus

La cosa molto pericolosa di Astaroth, e la novità rispetto alle precedenti infezioni basate su questo trojan, è la sua capacità di modificare, iniettandovi un codice dannoso, un file .dll usato dall’antivirus Avast. Tramite questo file, dopo averlo infettato, il trojan riesce a carpire altre informazioni sulla macchina su cui sta girando e a scaricare altro codice. Inoltre, riesce anche a nascondersi in caso di una scansione antivirus effettuata con Avast.

Cosa fa Astaroth

Il team di ricerca di Cybereason ha scoperto che una volta che il trojan si è infiltrato con successo, registra le sequenze di tasti degli utenti, intercetta le loro chiamate al sistema operativo e raccoglie continuamente tutte le informazioni salvate negli Appunti. Con questi metodi, raccoglie quantità significative di informazioni personali, comprese quelle sui conti bancari dell’utente. E se il PC infetto è connesso a una rete LAN, Astaroth riesce anche a raccogliere le password di accesso alla rete di tutti gli altri computer connessi alla stessa LAN, le password degli account di posta, i dati degli account di Messenger, le password di Internet Explorer.

Astaroth ha fatto la sua prima comparsa online nel 2017, per poi infettare migliaia di PC soprattutto in Sud America. Ha avuto diverse evoluzioni prima di arrivare a quella attuale. Una precedente versione, ad esempio, si nascondeva in false email di Amazon contenenti conferme di ordini mai effettuati dall’utente. Ma se l’utente cliccava sui link contenuti nella email l’infezione aveva inizio.