Nylig gikk Microsoft i rødt varsel etter at Windows ble angrepet av skadelig programvare. Antagonisten denne gangen var en stamme av filløs malware kalt Astaroth. Vi har dekket filløs malware tidligere, så sørg for å studere deg hvis du ikke er sikker på hva det betyr. I hovedsak er det når skadelig programvare bor i RAM -en til en datamaskin i stedet for filsystemet, noe som gjør det vanskeligere å oppdage.
La oss undersøke hvorfor Microsoft er opptatt av Astaroth, så vel som hva du bør gjøre for å beskytte deg selv.
Hvordan sprer Astaroth seg?
Astaroth klarer å komme seg rundt ved å bruke en .LNK -fil. Denne filen lastes opp til et nettsted, deretter sendes en lenke til nettstedet rundt i en e -post.
Hvis noen klikker på lenken, aktiveres .LNK -filen for kjøring i Windows. Dette sender noen instruksjoner til Windows Management Instrumentation Command-line (WMIC) -verktøyet. Dette er et ekte program i Windows selv, så det skjørt under antivirusprogrammet under kjøring.
Astaroth bruker deretter formen sin under WMIC for å tvinge den til å laste ned og kjøre alle programmene Astaroth trenger for å gjøre jobben sin. Når den har fullstendig samlet skadelig programvare, går angrepet av.
Selv om Astaroth laster ned verktøy for å gjøre jobben sin, er de alle legitime systemverktøy som Windows bruker innfødt. Som sådan gjør det det vanskeligere for et antivirus å oppdage det, ettersom angrepet bruker viktige Windows -prosesser mot seg selv. Dette er grunnen til at det kalles et "filløst" angrep, siden ingen utenlandske filer lastes ned og lagres.
Denne angrepsmetoden har også en større kategori tildelt: et "Living-off-the-Land" -angrep. Dette er fordi viruset ikke teknisk sett introduserer noen nye agenter i systemet; det er ganske enkelt å bruke det som allerede er der for å laste ned og utføre nyttelasten.
Hva gjør Astaroth?
Astaroths hovedmål er å høste så mye informasjon som mulig. Den utfører dette gjennom flere angrepsvektorer. En keylogger sporer alt brukeren skriver, mens utklippstavlen skannes for sensitiv informasjon. Astaroth vil også tvinge apper til å dumpe informasjon om seg selv.
Dette er vanligvis hvordan de fleste skadelige programmer virker i disse dager. Virus og skadelig programvare har beveget seg bort fra å gjøre skade og velger i stedet å utføre handlinger som enten høster data eller tjener penger til utviklerne. Astaroth er et alvorlig eksempel på dette, ettersom filløs installasjon og flere deteksjonsmetoder gjør det til en kraft å regne med.
Hvordan unngå dette angrepet
Heldigvis, mens denne taktikken gjør det vanskelig for et antivirus å fange opp angrepet, er den faktiske første vektoren lett å få øye på av menneskelige øyne. Vær alltid forsiktig med lenker du klikker i e -post, spesielt de som er sendt fra folk du aldri har hørt fra før.
Fileless fiender
Den skjulte naturen til filløs malware gjør dem til en alvorlig trussel, selv for personer med antivirus installert. Den siste Astaroth -bølgen har vist hvor ødeleggende filløs malware kan bli. Nå vet du hva det er, hva det kan gjøre, og hvordan du kan unngå en infeksjon.
Bekymrer filløs malware deg? Gi oss beskjed nedenfor.
Tilknyttet avsløring: Make Tech Easier kan tjene provisjon på produkter som er kjøpt via våre lenker, som støtter arbeidet vi gjør for våre lesere.
