マイクロソフトは、見つけにくいファイルレスマルウェア「アスタロト」について警告します

最近、Windowsがマルウェアの攻撃を受けた後、Microsoftは警告を発しました。今回の敵対者は、アスタロトと呼ばれるファイルレスマルウェアの一種でした。過去にファイルレスマルウェアについて説明したことがあるので、それが何を意味するのかわからない場合は、必ず調べてください。本質的には、マルウェアがファイルシステムではなくコンピュータのRAM内に存在し、検出が困難になる場合です。

マイクロソフトがアスタロトについて武装している理由と、自分自身を守るために何をすべきかを探りましょう。

アスタロトはどのように広がりますか？

Astarothは、.LNKファイルを使用して回避することができます。このファイルはWebサイトにアップロードされ、Webサイトへのリンクが電子メールで送信されます。

誰かがリンクをクリックすると、.LNKファイルがアクティブ化されてWindowsで実行されます。これにより、Windows Management Instrumentationコマンドライン（WMIC）ツールにいくつかの指示が送信されます。これはWindows自体に含まれる本物のプログラムであるため、実行中はウイルス対策の対象になります。

次に、Astarothは、WMICの下でその装いを使用して、Astarothがその仕事をするために必要なすべてのプログラムをダウンロードして実行するように強制します。マルウェアが完全に組み立てられると、攻撃は開始されます。

Astarothはその仕事をするためにツールをダウンロードしますが、それらはすべてWindowsがネイティブに使用する正規のシステムツールです。そのため、攻撃はそれ自体に対して主要なWindowsプロセスを使用するため、アンチウイルスがそれを検出するのが難しくなります。これが、外部ファイルがダウンロードおよび保存されていないため、「ファイルレス」攻撃と呼ばれる理由です。

この攻撃方法には、より大きなカテゴリが割り当てられています。「Living-off-the-Land」攻撃です。これは、ウイルスが技術的に新しいエージェントをシステムに導入していないためです。ペイロードをダウンロードして実行するために、すでに存在するものを使用するだけです。

アスタロトは何をしますか？

アスタロトの主な目標は、できるだけ多くの情報を収集することです。これは、いくつかの攻撃ベクトルを介して実行されます。キーロガーはユーザーが入力しているすべてのものを追跡し、クリップボードは機密情報をスキャンします。 Astarothはまた、アプリに自分自身に関する情報をダンプするように強制します。

これは一般的に、最近のほとんどのマルウェアの動作です。ウイルスとマルウェアは被害を与えることから離れ、代わりにデータを収集するか、開発者のためにお金を稼ぐアクションを実行することを選択しました。アスタロトは、そのファイルレスインストールと複数の検出方法により、それを考慮に入れる力となるため、この深刻な例です。

この攻撃を回避する方法

幸いなことに、この戦術ではアンチウイルスが攻撃を検出するのは困難ですが、実際の初期ベクトルは人間の目で簡単に見つけることができます。メールでクリックするリンク、特にこれまで聞いたことのない人から送信されたリンクには常に注意してください。

ファイルレスの敵

ファイルレスマルウェアのステルス性は、ウイルス対策ソフトウェアがインストールされている場合でも、深刻な脅威になります。最新のAstarothウェーブは、壊滅的なファイルレスマルウェアがどのように発生する可能性があるかを示しています。これで、それが何であるか、何ができるか、そして感染を回避する方法がわかりました。

ファイルレスマルウェアはあなたを心配しますか？以下にお知らせください。