Threat Spotlight: Astaroth — Maze of obfuscation and evasion reveals dark stealer

[iulik]

Cisco Talos detected a new Astaroth attack campaign targeting users in Brazil. The operation began when a user received an email written in Portuguese that resorted to a car rental service as a lure in order to trick the user into clicking on a link that masqueraded as an overdue invoice. In actuality, that link redirected the user to Google Drive for the purpose of downloading a malicious ZIP file.

 

 

detalii -> https://blog.talosintelligence.com/2020/05/astaroth-analysis.html

[Nytro]

Nu am citit articolul, dar din imagine ma gandesc la faptul ca e stupid de inutil complicat... 

[iulik]

1 hour ago, Nytro said:

Nu am citit articolul, dar din imagine ma gandesc la faptul ca e stupid de inutil complicat... 

cam da  

imaginea asta am uitat sa o pun

[Nytro]

Cat au evoluat malwarii astia.

Anti-debug check: Portuguese language!  

[iulik]

Din cate am citit, i-a dat cateva dureri de cap sa ii faca debug.

 

Sunt targetati oamenii din mexic, malware-ul verifica daca limba setata pe sistemul de operare e portugheza, daca nu termina procesul.

 

Ce mi s-a mai parut interesant e ca foloseste canale de youtube, canalele de youtube linkuiesc catre o serie de domenii, iar de acolo domeniile trimit instructiuni la persoanele infectate.

[Nytro]

Da, nu pare chiar ceva ce ar face un script kiddie. Interesant. 

[gigiRoman]

Parca in rootkits and bootkits descriau ca foloseau canale de twiter, telegram sau generatoare de domenii. Daca malwareul nu gasea domeniul respectiv apela generatorul offline si stia unde sa mearga.

Mai erau si malwareurile care foloseau pastebin.

La youtube nu m-am gandit niciodata, dar pe langa faptul ca este mai repede de dezvoltat partea de infrastructura (se folosesc de youtube) ii ajuta si faptul ca pe multe pc-uri traficul catre youtube e permis.