Trojan ‘satânico’ traz keylogger a 8 mil PCs no Brasil

Paulo Brito
02/10/2018
Email falso da Ticket Log. Clique para ampliar

O Centro de Defesa de Phishing Cofense detectou há uma semana o ressurgimento do trojan Astaroth, que em apenas sete dias atingiu oito mil máquinas no Brasil, tornadas potencialmente comprometidas segundo a empresa. O Astaroth, surgido no final de 2017, havia desaparecido da Internet e ganhou esse nome (o “Grande Duque do Inferno” no folclore antigo) em homenagem ao uso de nomes satânicos nas suas variáveis. Ele infecta suas vítimas por meio de e-mails falsos (veja ao lado), a maioria dos quais é originária de um remetente malicioso representando serviços legítimos usando domínios com.br. Um dos exemplos coletados pela Cofense é um falso e-mail da Ticket Log, empresa que opera com vale-combustível no país todo.

O principal efeito do Astaroth é contaminar o navegador Edge, da Microsoft, e operar como keylogger. O objetivo dos cibercriminosos é naturalmente detectar e capturar credenciais para uso em bancos e sites de outros serviços.

O payload inicial do Astaroth é um arquivo malicioso com extensão .lnk, um método de entrega bastante comum utilizado pelo cibercrime. Esses arquivos contêm um link para uma URL, para capturar e baixar o payload seguinte. Existem segundo os pesquisadores da Cofense um total de 154 payloads, com 154 links diferentes.

Depois que o malware é baixado e os arquivos checados, o script verificará no diretório C: \ Arquivos de Programas se o antivírus Avast está instalado. Se não há nenhuma instalação do Avast o script prossegue para a execução final de um .dll baixado usando o regsvr32 e finaliza. A instalação é bastante complexa e compromete totalmente a máquina cliente. O relatório completo da Cofense está em

We’re Seeing a Resurgence of the Demonic Astaroth WMIC Trojan

 

 

 

Compartilhar:

Últimas Notícias

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)