Tìm hiểu về fileless malware Astaroth

Gần đây, Microsoft đã đưa ra báo động đỏ sau khi Windows bị phần mềm độc hại tấn công. “Nhân vật phản diện” lần này là một loại fileless malware có tên gọi Astaroth. Trước đây, Quantrimang.com đã nói về fileless malware, vì vậy hãy dành chút thời gian đọc qua bài viết này nếu bạn không chắc khái niệm đó đó có nghĩa là gì. Về bản chất, fileless malware sống trong RAM của máy tính chứ không phải hệ thống file, khiến cho việc phát hiện khó khăn hơn.

Hãy cùng khám phá lý do tại sao Microsoft lại đưa ra cảnh báo về Astaroth, cũng như những gì bạn nên làm để bảo vệ chính mình.

Astaroth lây lan như thế nào?

Astaroth lây lan bằng cách sử dụng file .LNK. File này được upload lên một trang web, sau đó một liên kết đến trang web được gửi đi qua email.

Nếu ai đó nhấp vào liên kết, file .LNK này sẽ được kích hoạt và chạy trong Windows. Sau đó, một số hướng dẫn sẽ được gửi đến công cụ Management Instrumentation Command-line (WMIC). Đây là một chương trình chính thức ngay trong chính Windows, vì vậy nó né tránh được phần mềm diệt virus trong khi thực thi.

Astaroth sau đó sử dụng chiêu bài của mình, núp sau WMIC, để buộc nó tải xuống và chạy tất cả các chương trình mà Astaroth cần để thực hiện công việc của mình. Một khi phần mềm độc hại được lắp ráp hoàn chỉnh, cuộc tấn công sẽ diễn ra theo kế hoạch.

Astaroth lợi dụng tất cả các công cụ hệ thống hợp pháp mà Windows sử dụng để thực hiện công việc của mình. Do đó, nó khiến cho chương trình diệt virus khó phát hiện ra hơn, vì cuộc tấn công sử dụng những tiến trình của Windows để chống lại chính nó. Đây là lý do tại sao nó được gọi là một cuộc tấn công “fileless” (không cần file), vì không có file bên ngoài nào được tải xuống và lưu trữ cả.

Phương thức tấn công này cũng thuộc một phân nhóm lớn hơn, gọi là cuộc tấn công “Living-off-the-Land”. Đó là do về mặt kỹ thuật, virus này không được giới thiệu như bất kỳ tác nhân mới nào đối với hệ thống. Nó chỉ đơn giản là sử dụng những gì đã có để tải xuống và thực thi payload.

Astaroth thực hiện hành động gì?

Mục tiêu chính của Astaroth là thu nhặt càng nhiều thông tin càng tốt. Nó thực hiện điều này thông qua một số vectơ tấn công. Một keylogger theo dõi mọi thứ người dùng đang gõ, trong khi clipboard được quét để tìm thông tin nhạy cảm. Astaroth cũng sẽ buộc các ứng dụng tiết lộ thông tin về bản thân chúng.

Đây thường là cách mà phần lớn phần mềm độc hại hoạt động hiện nay. Virus và phần mềm độc hại đã chuyển trọng tâm từ việc gây thiệt hại sang thực hiện hành động thu thập dữ liệu hoặc kiếm tiền cho kẻ đã tạo ra chúng. Astaroth là một ví dụ điển hình về việc này, vì nó cài đặt không cần file và nhiều phương pháp phát hiện virus không có khả năng phát hiện ra nó.

Làm thế nào để tránh cuộc tấn công từ Astaroth?

May mắn thay, trong khi chiến thuật này khiến cho một phần mềm diệt virus khó có thể bắt kịp cuộc tấn công, thì vectơ ban đầu thực tế rất dễ phát hiện bằng mắt thường. Hãy luôn cẩn thận với các liên kết mà bạn nhấp vào trong email, đặc biệt là các liên kết được gửi từ những người mà bạn chưa từng nghe thấy trước đây.

Bản chất lén lút của fileless malware khiến chúng trở thành mối đe dọa nghiêm trọng, ngay cả đối với những người đã cài đặt phần mềm diệt virus. Làn sóng Astaroth mới nhất đã chỉ ra mức độ tàn phá mà phần mềm độc hại có thể gây ra. Bây giờ, bạn đã biết Astaroth là gì, nó có thể làm những gì và làm thế nào để tránh nhiễm phải phần mềm độc hại này.

Fileless malware có làm bạn thấy lo lắng không? Hãy chia sẻ ý kiến với mọi người trong phần bình luận dưới đây nhé!