Команда исследователей в области безопасности Microsoft предупреждает о распространении бесфайлового трояна Astaroth. Злоумышленники загружают похищающий данные вредонос прямо в память компьютера жертвы.
Astaroth предназначен для кражи конфиденциальной информации. Используя свой модуль кейлоггера, троян фиксирует учетные данные пользователя. Также он способен перехватывать вызовы операционной системы и мониторить буфер обмена.
Еще одна опасная особенность этой вредоносной программы — использование командной строки Windows для скрытой загрузки и установки в фоне других зловредов.
Команда безопасников Microsoft оповестила об атаках трояна в Twitter. По словам экспертов, киберпреступники используют многоступенчатую схему заражения. Все начинается с целевого фишинга — жертве приходит электронное письмо, в котором содержится ссылка, ведущая пользователя на LNK-файл.
Этот файл, в свою очередь, запускает инструмент WMIC с параметром «/Format», что позволяет скачать и запустить код JavaScript.
Вся схема атаки, согласно отчету Microsoft, выглядит следующим образом:
