Microsoft warnt vor Astaroth-Malware-Kampagne

Das Microsoft-Sicherheitsteam hat heute eine Warnung vor laufenden Malware-Kampagnen herausgegeben, die die Astaroth-Malware mit Hilfe von Fileless und Living-Off-the-Land-Techniken verbreiten, die es für traditionelle Antivirenlösungen schwieriger machen, die laufenden Angriffe zu erkennen.

Die Angriffe wurden vom Team hinter Windows Defender ATP, der kommerziellen Version des kostenlosen Antivirenprogramms Windows Defender des Unternehmens, erkannt. Laut Andrea Lelli, der Mitglied des Windows Defender ATP-Teams ist, registrierten die Ingenieure einen großen und plötzlichen Anstieg bei der Verwendung des Windows Management Instrumentation Command Line (WMIC)-Tools.

Dabei handelt es sich um ein in Windows-Betriebssystemen von Microsoft entwickelten Tools. Aber der plötzliche Anstieg der Nutzung deutete auf ein spezielles Muster für Malware-Kampagnen hin.

Als Microsoft genauer hinsah, entdeckte es eine Malware-Kampagne, die aus einer massiven Spam-Operation bestand, die E-Mails mit einem Link zu einer Website versandte, die eine.LNK-Verknüpfungsdatei enthielt.

Wenn Benutzer diese Datei herunterladen und ausführen, wird das WMIC-Tool und anschließend eine Vielzahl anderer legitimer Windows-Tools gestartet.

Diese laden alle zusätzlichen Code herunter und koordinieren sich untereinander, sodass sie ausschließlich im Speicher ausgeführt werden. Mit dieser sogenannten dateilosen Ausführung hinterlassen sich auch keine Spuren auf der Festplatte, was die Entdeckung durch klassische Antiviren-Lösungen nahezu verhindert.

Am Ende des Angriffs wird der Astaroth-Trojaner heruntergeladen und ausgeführt, ein bekannter Daten-Dieb, der Anmeldeinformationen für eine breite Kategorie von Anwendungen erbeutet und die gestohlenen Daten auf einen Remote-Server hochlädt.

Auf Basis dieses Trojaners, der erstmals 2018 entdeckt wurde, haben Cyberkriminelle im Februar dieses Jahres bei einem Angriff auf europäische und brasilianische Nutzer verwendet.