Hackers iranianos alegam ter derrubado energia em Israel
Ransomware atinge empresa de logística no Brasil
USP, UFRJ e UFMG sob ataque de negação de serviço
Pane de rede retardou produção na Volkswagen
Site da Prefeitura de Suzano (SP) está fora do ar
DDoS atinge subdomínio da NASA

Assine nossa newsletter Premium e ganhe acesso ao grupo de WhatsApp In_Cyber.
Conheça também a versão Básica

Trojan ‘satânico’ traz keylogger a 8 mil PCs no Brasil

Share on linkedin
Share on twitter
Share on facebook
Email falso da Ticket Log. Clique para ampliar

O Centro de Defesa de Phishing Cofense detectou há uma semana o ressurgimento do trojan Astaroth, que em apenas sete dias atingiu oito mil máquinas no Brasil, tornadas potencialmente comprometidas segundo a empresa. O Astaroth, surgido no final de 2017, havia desaparecido da Internet e ganhou esse nome (o “Grande Duque do Inferno” no folclore antigo) em homenagem ao uso de nomes satânicos nas suas variáveis. Ele infecta suas vítimas por meio de e-mails falsos (veja ao lado), a maioria dos quais é originária de um remetente malicioso representando serviços legítimos usando domínios com.br. Um dos exemplos coletados pela Cofense é um falso e-mail da Ticket Log, empresa que opera com vale-combustível no país todo.

O principal efeito do Astaroth é contaminar o navegador Edge, da Microsoft, e operar como keylogger. O objetivo dos cibercriminosos é naturalmente detectar e capturar credenciais para uso em bancos e sites de outros serviços.

O payload inicial do Astaroth é um arquivo malicioso com extensão .lnk, um método de entrega bastante comum utilizado pelo cibercrime. Esses arquivos contêm um link para uma URL, para capturar e baixar o payload seguinte. Existem segundo os pesquisadores da Cofense um total de 154 payloads, com 154 links diferentes.

Depois que o malware é baixado e os arquivos checados, o script verificará no diretório C: \ Arquivos de Programas se o antivírus Avast está instalado. Se não há nenhuma instalação do Avast o script prossegue para a execução final de um .dll baixado usando o regsvr32 e finaliza. A instalação é bastante complexa e compromete totalmente a máquina cliente. O relatório completo da Cofense está em

https://cofense.com/seeing-resurgence-demonic-astaroth-wmic-trojan/