Nyligen gick Microsoft i rött varning efter att Windows attackerades av skadlig kod. Antagonisten den här gången var en stam av filelös skadlig kod som heter Astaroth. Vi har täckt filelös skadlig programvara tidigare, så se till att studera om du inte är säker på vad det betyder. I grund och botten är det när skadlig kod lever i RAM-minnet på en dator snarare än dess filsystem, vilket gör det svårare att upptäcka.
Låt oss utforska varför Microsoft är i fästen om Astaroth, liksom vad du ska göra för att skydda dig själv.
Hur sprider Astaroth sig?
Astaroth lyckas komma runt med en .LNK-fil. Den här filen laddas upp till en webbplats och sedan skickas en länk till webbplatsen i ett e-postmeddelande.
Om någon klickar på länken aktiveras den .LNK-filen för att köras i Windows. Detta skickar några instruktioner till Windows Management Instrumentation Command-line (WMIC) -verktyget. Detta är ett äkta program i Windows själv, så det kjolar under antivirusprogrammet under körning.
Astaroth använder sedan sin klädsel under WMIC för att tvinga den att ladda ner och köra alla program som Astaroth behöver för att göra sitt jobb. När den har installerat skadlig programvara helt går attacken av.
Medan Astaroth laddar ner verktyg för att göra sitt jobb är de alla legitima systemverktyg som Windows använder. Som sådan gör det det svårare för ett antivirusprogram att upptäcka det, eftersom attacken använder viktiga Windows-processer mot sig själv. Det är därför det kallas en ”fileless” attack, eftersom inga utländska filer laddas ner och sparas.
Denna attackmetod har också en större kategori tilldelad: en ”Living-off-the-Land” -attack. Detta beror på att viruset inte tekniskt introducerar några nya agenter i systemet. det använder helt enkelt det som redan finns för att ladda ner och köra nyttolasten.
Vad gör Astaroth?
Astaroths huvudmål är att skörda så mycket information som möjligt. Det utför detta genom flera attackvektorer. En keylogger spårar allt som användaren skriver medan klippbordet skannas efter känslig information. Astaroth kommer också att tvinga appar att dumpa information om sig själva.
Det är i allmänhet hur de flesta skadliga program fungerar i dessa dagar. Virus och skadlig kod har gått bort från att skada och väljer istället att utföra åtgärder som antingen skördar data eller tjänar pengar för utvecklarna. Astaroth är ett allvarligt exempel på detta, eftersom dess fillösa installation och flera detekteringsmetoder gör det till en kraft att räkna med.
Hur man undviker denna attack
Lyckligtvis, även om denna taktik gör det svårt för ett antivirusprogram att plocka upp attacken, är den faktiska initialvektorn lätt att upptäcka av mänskliga ögon. Var alltid försiktig med länkar som du klickar på i e-postmeddelanden, särskilt de som skickas från personer som du aldrig har hört talas om förut.
Fillösa fiender
Den smygande karaktären hos fileless malware gör dem till ett allvarligt hot, även för personer med antivirusprogram installerade. Den senaste Astaroth-vågen har visat hur förödande fillös skadlig kod kan bli. Nu vet du vad det är, vad det kan göra och hur man undviker en infektion.
Oroar fileless malware dig? Låt oss veta nedan.