Microsoft Memperingatkan Tentang Fileless Malware Astaroth Yang Sulit di Deteksi

July 16, 2019

Baru-baru ini, Microsoft masuk ke peringatan merah setelah Windows mendapat serangan dari malware. Kali ini adalah jenis fileless malware baru yang bernama Astaroth. Astaroth memiliki modul key logger, memotong panggilan system operasi dan memonitor clipboard untuk mencuri data sensitif, seperti penekanan tombol dan kredensial, dari komputer korban. Intinya, saat malware hidup di dalam RAM komputer daripada system file, membuatnya lebih sulit untuk dideteksi.

Astaroth pertama kali terlihat pada 2018 dan terdeteksi pada Februari tahun 2019 dalam kampanye yang menargetkan pengguna Brasil dan Eropa. Baru-baru ini, itu diidentifikasi oleh Microsoft Defender ATP Research Team pada Mei dan Juni tahun ini.

Mari kita telaah mengapa Microsoft menentang Astaroth, dan apa yang harus anda lakukan untuk melindungi diri sendiri.


Bagaimana Astaroth Menyebar?


Astaroth berhasil berkeliling dengan menggunakan file .LNK yang diupload ke sebuah situs web, lalu link/tautan ke situs web tersebut dikirim dalam email.

Jika seseorang mengklik tautan, itu akan mengaktifkan file .LNK untuk dijalankan di Windowsnya. Ini mengirimkan beberapa instruksi ke tools Windows Management Instrumentation Command-line (WMIC). Ini adalah program asli di dalam Windows itu sendiri, jadi ia masuk dalam antivirus selama eksekusi.

Astaroth kemudian menggunakan kedoknya di bawah WMIC untuk memaksanya mendownload dan menjalankan semua program yang diperlukan Astaroth untuk melakukan tugasnya. Setelah software itu sepenuhnya mengumpulkan malware, serangannya akan padam.

Meskipun Astaroth mendownload untuk melakukan tugasnya, mereka semua adalah system tools yang sah yang digunakan Windows secara asli. Dengan demikian, itu membuatnya lebih sulit bagi antivirus untuk mendeteksinya, karena serangan itu menggunakan proses utama Windows terhadap dirinya sendiri. Inilah sebabnya mengapa disebut serangan "fileless," karena tidak ada file asing yang didownload dan di save/simpan di PC.

Metode serangan ini juga memiliki kategori yang lebih besar yang ditugaskan untuknya, dimana ini digambarkan Microsoft sebagai serangan Living-off-the-Land. Ini karena virus tidak secara teknis memasukkan agen baru ke dalam system; itu hanya menggunakan apa yang sudah ada disana untuk mendownload dan mengeksekusi payload.


Apa yang Astaroth Lakukan?


Tujuan utama Astaroth adalah mengumpulkan sebanyak mungkin informasi. Ia melakukan ini melalui beberapa vektor serangan. Keylogger melacak semua yang diketik pengguna, sementara clipboard dipindai untuk mendapatkan informasi sensitif. Astaroth juga akan memaksa aplikasi untuk membuang informasi tentang diri mereka sendiri.

Ini umumnya bagaimana sebagian besar malware bertindak hari ini. Virus dan malware telah beralih dari kerusakan dan sebagai gantinya memilih untuk melakukan tindakan yang memanen data atau menghasilkan uang bagi pengembang. Astaroth adalah contoh yang parah dari ini, karena instalasi tanpa fileless dan beberapa metode pendeteksian membuatnya menjadi kekuatan yang harus diperhitungkan.


Cara Menghindari Serangan ini

Untungnya, walaupun taktik ini menyulitkan antivirus untuk menangkap serangan itu, vektor awal yang sebenarnya mudah dikenali oleh mata manusia. Selalu berhati-hati dengan tautan yang anda klik dalam email, terutama yang dikirim dari orang-orang yang belum pernah anda dengar sebelumnya.


Lawan Fileless

Sifat tersembunyi dari malware fileless membuat mereka menjadi ancaman serius, bahkan untuk orang dengan antivirus yang diinstal. Gelombang Astaroth terbaru telah menunjukkan betapa dahsyatnya fileless malware bisa dapatkan. Dan sekarang anda tahu apa itu, apa yang bisa dilakukan, dan bagaimana cara menghindari infeksi.

Apakah fileless malware mengkhawatirkan anda? Beritahu saya di kolom komentar di bawah ini. Terimakasih dan GBU.

Share this

Related Posts

Previous
Next Post »