研究人员发现，一款Astaroth特洛伊木马的新变种已经开发出了新的恶意功能，其可以利用反病毒软件和服务中易受攻击的进程。此前，Astaroth木马通过伪装成图片和GIF文件来达到其感染目的。

以色列特拉维夫的网络安全创业公司Cybereason的Nocturnus研究团队周三在其发布的一篇博客文章中表示，该变种能够利用网络安全软件中的某些模块来窃取在线凭证和个人数据。

在其最新活动中，Astaroth木马被用于巴西和欧洲的垃圾邮件活动，2018年底记录了数千例感染。此木马滥用二进制文件lolbins，利用如Windows管理规范控制台的命令行接口（WMIC）偷偷在后台下载并安装恶意的有效载荷。

基于邮件感染的方法

Cybereason的研究人员发现，如果垃圾邮件或网络钓鱼邮件被用户无意中下载并打开，则会使用合法的Microsoft Windows BITSAdmin工具（旨在帮助创建下载或上传作业，并监控它们的进程）从命令和控制（C2）服务器下载完整的恶意有效负载。

与以前的版本一样，这种Astaroth变体通过垃圾邮件活动分发，感染从以电子邮件附件或超链接的形式发送到目标的.7zip存档开始。恶意存档包含一个.lnk文件，该文件将生成一个wmic.exe进程，该进程将“初始化XSL脚本处理攻击”。

初始化后，该XSL脚本与C2服务器建立一个通道。该脚本经过混淆，包含从防病毒软件中隐藏自身的功能，并负责利用BITSAdmin从单独的命令与控制服务器下载恶意有效负载。

接下来，该恶意软件连接到一个命令与控制服务器，并窃取有关受感染计算机的信息。将加密的XSL脚本下载到受感染的机器后，木马将使用BITSAdmin从另一台C2服务器获取有效负载，该负载被仔细地混淆为图像或文件，没有包含各种Astaroth模块的扩展名。

利用反恶意软件工具窃取信息

旧变种的特洛伊木马将启动扫描以查找防病毒程序，如果受感染系统上存在Avast防病毒软件，那么Astaroth就将自动退出。然而，据研究人员称，Astaroth新变种将滥用防病毒程序，“将恶意模块注入其进程”。

如果检测到Avast，它会在Avast反病毒软件的aswrundll.exe Avast软件运行时动态链接库中注入一个恶意模块，并使用该模块来收集有关受攻击计算机的信息，并在需要时加载额外的模块。可执行文件——类似于Microsoft的rundll32.exe——可以通过调用其导出的函数来执行DLL。

此外，新的Astaroth木马变种也被设计用来利用由GAS Tecnologia开发的安全解决方案unins000.exe进程，如果被感染的计算机上没有Avast，它还将使用该进程搜索和收集个人用户信息，而不会被检测到。

该木马还利用fromCharCode（）反混淆方法来隐藏代码执行，这是对先前旧版本Astaroth的升级。

攻击带来的影响

Cybereason的研究小组发现：一旦攻击活动成功渗透，它将记录用户击键，拦截他们的操作系统调用，并收集任何保存到剪贴板的信息。通过这些方法，可以从用户的银行帐户和业务帐户中发现大量的个人信息。

此外，与NetPass一起，它可以收集用户的登录密码，包括他们在LAN上的任何远程计算机、邮件帐户密码、Messenger帐户、Internet Explorer密码和其他密码。

利用lolbin，利用受害者电脑上已经存在的反恶意软件和安全软件的缺陷，让Astaroth木马和信息窃取者获得了明显的优势。

Cybereason在他们对新型Astaroth变种的分析中总结道:“由于lolbin的潜在恶意利用，很有可能许多其他的信息窃取者会采用这种方法将他们的有效载荷发送到目标设备上。”

此前，曾有过某些木马病毒通过卸载防病毒软件来实现感染目的，但像此Astaroth木马，向防病毒软件注入恶意模块的运作方式并不常见，值得引起安全研究人员的注意。