تروجان آستاروس؛ این بار از طریق نرم افزارهای آنتی ویروس

Astaroth

گروه تحقیقاتی Cybereason، یک گونه جدید از تروجان آستاروس را کشف کرده است که به نرم افزارهای آنتی ویروس حمله می کند تا مدارک و اسناد را مورد دستبرد قرار دهد.

این گونه جدید از تروجان آستاروس در یک کمپین هرزنامه گسترده کشف شد که نه تنها از پروسس های معتبر مربوط به سیستم عامل ها، بهره برداری می کند بلکه نرم افزارهای آنتی ویروس را نیز هدف قرار می دهد تا قابلیت های خود را توسعه داده و اقدام به سرقت از اسناد و مدارک نماید.

بر اساس گزارش تیم تحقیقاتی Cybereason، در اوایل این هفته، آخرین نسخه از تروجان آستاروس، یک ماژول مخرب را به یکی از پروسس های آنتی ویروس آواست تزریق می کند. محققان گفتند، چون آواست، یکی از رایج ترین برنامه های آنتی ویروس در دنیا است، این امر باعث می شود که این تزریق یک استراتژی فرار موثر تلقی شود. نسخه های قبلی این بد افزار که اولین بار در سال ۲۰۱۷ تشخیص داده شد، سیستم های قربانیان را اسکن می کردند و اگر توسط برنامه آنتی ویروس ردیابی می شدند، عملیات را متوقف می نمودند.

این کمپین اسپم همچنین از فایل اجرایی unins000.exe، پروسسی که متعلق به شرکت GAZ (یک شرکت امنیتی اطلاعات برزیلی)، سوء استفاده کرده است. بر اساس مقاله ی منتشر شده که جزئیات این تحقیق را شرح می دهد، این کمپین برزیل و بخش هایی از اروپا را هدف قرار داد و تا پایان سال ۲۰۱۸ به نقطه اوج خود رسید.

الی سالم، محقق امنیتی در Cybereason، گفت: «بد افزار آستاروس، بسیار شبیه به انواع دیگری است که از نظر چگونگی انتشار، از اواسط سال ۲۰۱۸، شاهد آن بوده ایم. با این حال، گونه اخیر، بار پردازشی خود را روی محصولات امنیتی قرار می دهد و خود را تا آنجا که می تواند استتار می کند و این کار را از طریق تغییر برخی پروسس های خود در حین انجام کار، انجام می دهد.»

محققان دریافتند که تروجان آستاروس، بار پردازشی خود را در قالب فایل های عکس JPEG، GIF و دیگر پسوندها، برای اجتناب از تشخیص تغییر می دهد. به محض نفوذ موفقیت آمیز، تاریخچه استفاده از کیبورد کاربر را ذخیره می کند، فراخوانی های سیستم عاملی آن ها را قطع کرده و سپس اقدام به جمع آوری اطلاعات، اسناد و مدارک از جمله رمزهای عبور می نماید.

سالم گفت که این گونه جدید از آستاروس نیاز به استفاده از یک اشکال یا آسیب پذیری در کد ندارد.

سالم در ادامه افزود: «این چیزی نیست که آنتی ویروس آواست برای حل آن اقدام به انتشار بسته امنیتی و اصلاحی نماید، چون این فرآیند بخشی از محصول آن ها است؛ این درست مانند یک پروسس مایکروسافت است که امکان استفاده خرابکارانه از آن وجود دارد.»

او توضیح داد که این بدافزار در حقیقت، یک پروسس قانونی است با کاربردهای قانونی که برای اهداف خرابکارانه بکار می رود؛ در این مورد خاص از طریق بارگذاری و اجرای ماژول های مخرب انجام می پذیرد.

شرکت آواست در بیانیه ای گفت: «در مورد این نوع تروجان خاص که در گزارش شرکت Cybereason به آن اشاره شده، مطالعه و تحقیق صورت پذیرفته شده است. از آنجا که این یک سو استفاده نیست، هیچ اجباری روی آنها، برای ارائه گزارش رسمی وجود ندارد.»

نویسندگان از یک فایل باینتری مورد اعتماد و معتبر برای اجرای بدافزار استفاده می کنند؛ در این مورد، آن ها از یک پروسس در آنتی ویروس آواست استفاده کردند؛ احتمالاً به خاطر تعداد بالای کاربران آنتی ویروس آواست در کشور برزیل. نکته مهمی که بایستی به آن توجه شود این است که این موضوع، نه یک حمله تزریق است و نه یک حمله تشدید. فایل های باینری نصب شده در آنتی ویروس آواست، دارای مکانیزم های حفاظت از خود هستند تا از تزریق جلوگیری کنند. در این موضوع، آن ها از یک فایل آواست استفاده می کنند تا یک فایل باینری را به شیوه ای مشابه اجرا کنند که یک DLL می تواند از طریق فایل rundll32.exe در سیستم عامل ویندوز اجرا شود. ما قبلاً یک اطلاعیه برای بدافزار صادر کرده بودیم تا تمامی کاربران آنتی ویروس آواست، از این بدافزار حفاظت شوند. علاوه بر این، ما تغییراتی را در محیط خود اجرا خواهیم کرد تا اطمینان حاصل کنیم که در این روش نمی توان از همان پروسس استفاده کرد.»

محققان شرکت Cybereason پیش بینی می کنند که استفاده از فایل های باینری خارج از دامنه ممکن است امسال افزایش یابد. به دلیل پتانسیل فراوان در بهره برداری مخرب در استفاده از پروسس های بومی، محققان بر این باورند که بسیاری از سارقان اطلاعات، این روش را اتخاذ خواهند کرد تا بار پردازشی خود را به ماشین های مورد هدف تحویل دهند.

Astaroth Trojan returns, abuses antivirus software