Специалисты Microsoft предупредили пользователей об активной вредоносной кампании по заражению компьютеров вредоносным ПО Astaroth, которую сложно детектировать привычными решениями безопасности.

Кампания была обнаружена командой разработчиков Windows Defender ATP, коммерческой версии антивирусного продукта Windows Defender. По словам участницы команды Андреа Лелли (Andrea Lelli), специалисты заподозрили неладное после обнаружения резкого скачка в использовании инструмента Windows Management Instrumentation Command-line (WMIC).

WMIC представляет собой легитимный инструмент в современных версиях Windows, однако внезапный скачок в его использовании явно указывал на вредоносную кампанию. Присмотревшись внимательнее, специалисты обнаружили масштабную операцию по рассылке фишинговых писем с ссылкой на web-сайт, содержащий файл .LNK.

После загрузки и открытия файла запускался WMIC и ряд других легитимных инструментов Windows, которые загружали дополнительный код, перебрасывали данные один другому и выполняли код исключительно в памяти (так называемое бесфайловое выполнение). Поскольку никакие файлы при этом на диск не сохранялись, привычные решения безопасности атаку не детектировали.

На финальном этапе атаки на систему загружалось вредоносное ПО Astaroth, представляющее собой инфостилер для похищения учетных данных для ряда приложений. Первые атаки с его использованием были обнаружены в 2018 году. В феврале нынешнего года вредонос атаковал пользователей в Европе и Бразилии.

Специалисты Microsoft зафиксировали новую кампанию в мае-июне. Более 95% от всех затронутых пользователей проживают в Бразилии. Как отметила Лелли, ни на одном этапе атаки не использовались файлы, которые не были бы системными. Подобный тип атаки, когда используются только инструменты, уже присутствующие на системе, называется «living off the land». За последние три года атаки данного типа используются все чаще, вынуждая производителей антивирусных решений разрабатывать новые способы их детектирования.