Astaroth - malware ukrywające się w opisach kanałów na YouTube

Astaroth to zagrożenie, które znamy od 2018 roku, kiedy było rozsyłane za pomocą kampanii spamowych. O ile wcześniej był rozprowadzany poprzez pocztę e-mail, tak teraz pojawił w opisach kanałów na YouTube.

Jak na razie rzecz dotyczy brazylijskiego YouTube, jednak w każdej chwili może rozprzestrzenić na inne kraje. Astaroth znacznie wyewoluował od poprzedniej formy i obecnie dysponuje narzędziami anty-sandboksowymi oraz anty-analitycznymi, które mają utrudnić jego identyfikację programom antywirusowym oraz badaczom. Ewolucja ta została opisana w dwóch oddzielnych artykułach na blogu Microsoftu (w czerwcu 2019 i marcu 2020 roku). Teraz wykryto go w najnowszym wcieleniu - w opisach kanałów na YouTube, które stanowią link do serwerów command and control. Tak opisany kanał jest połączony ze szkodnikiem, który przesyła na serwer wykradzione informacje oraz przesyła do witryny nowe instrukcje.

Źródło: ZDNet

Źródło: ZDNet

Taka metoda ukrywania lokalizacji serwera C&C na YouTube nie jest nowością. Stosowano ją w 2015 roku przy szkodniku Janicab oraz w 2019 przy Stantinko. Jeśli YouTube zlikwiduje zainfekowany kanał, szkodnik może przeskoczyć na inny. Firma badawcza Talos, odpowiedzialna za wykrycie nowej inkarnacji szkodnika, podaje, że zawsze starał się być o krok przed najnowszymi zabezpieczeniami i błyskawicznie dopasowywano go do nowych struktur. Przykładem wspomniane mechanizmy antyanalityczne, które pozwalają na wykonanie analizy przed wykonaniem złośliwego kodu i sprawdzają, czy badanie odbywa się na prawdziwym komputerze, czy w środowisku sandboksowym. Umożliwia mu tu zręczne ominięcie detekcji i działanie dopiero po zakończeniu badań.

A jak działa Astaroth? Jak i każdy inny malware, ma swoje cele - w tym przypadku jest to wstrzyknięcie złośliwego kodu, pozwalającego na wprowadzenie bardziej specjalistycznych szkodników. Wykradzione dane mogą z kolei posłużyć cyberprzestępcom do innych działań.

Źródło: ZDNet