O Centro de Defesa de Phishing Cofense detectou há uma semana o ressurgimento do trojan Astaroth, que em apenas sete dias atingiu oito mil máquinas no Brasil, tornadas potencialmente comprometidas segundo a empresa. O Astaroth, surgido no final de 2017, havia desaparecido da Internet e ganhou esse nome (o “Grande Duque do Inferno” no folclore antigo) em homenagem ao uso de nomes satânicos nas suas variáveis. Ele infecta suas vítimas por meio de e-mails falsos (veja ao lado), a maioria dos quais é originária de um remetente malicioso representando serviços legítimos usando domínios com.br. Um dos exemplos coletados pela Cofense é um falso e-mail da Ticket Log, empresa que opera com vale-combustível no país todo.
O principal efeito do Astaroth é contaminar o navegador Edge, da Microsoft, e operar como keylogger. O objetivo dos cibercriminosos é naturalmente detectar e capturar credenciais para uso em bancos e sites de outros serviços.
O payload inicial do Astaroth é um arquivo malicioso com extensão .lnk, um método de entrega bastante comum utilizado pelo cibercrime. Esses arquivos contêm um link para uma URL, para capturar e baixar o payload seguinte. Existem segundo os pesquisadores da Cofense um total de 154 payloads, com 154 links diferentes.
Depois que o malware é baixado e os arquivos checados, o script verificará no diretório C: \ Arquivos de Programas se o antivírus Avast está instalado. Se não há nenhuma instalação do Avast o script prossegue para a execução final de um .dll baixado usando o regsvr32 e finaliza. A instalação é bastante complexa e compromete totalmente a máquina cliente. O relatório completo da Cofense está em
We’re Seeing a Resurgence of the Demonic Astaroth WMIC Trojan
