Astaroth Trojan使用Cloudflare Worker绕过AV软件

 
新的恶意攻击活动通过滥用Cloudflare Workers无服务器计算平台来积极分发新的Astaroth木马变体，以避免检测并阻止自动分析尝试。
Cloudflare Workers是从位于90个国家的193个城市的“数据中心”在Cloudflare服务器上运行的脚本，允许用户执行任何JavaScript代码而无需担心基础架构维护。
“工人有一个免费的计划，任何人或任何人都可以注册，每天可以获得100,000个请求。每个帐户可以创建无限数量的工作人员”，正如Check Point恶意软件研究员Marcel Afrahim发现这个Astaroth变种一样。
Cloudflare Workers被Astaroth的运营商用作三阶段感染过程的一部分，首先是网络钓鱼电子邮件，其中包含HTML附件，其中包含混淆的JavaScript代码并链接到位于Cloudflare基础架构后面的域。
Cloudflare工作人员负载有效负载
此域用于以JSON格式提供多种类型的有效负载，具体取决于目标的位置，以允许攻击者快速更改各种目标的恶意文件，并避免根据发送给潜在受害者计算机的文件对象类型进行阻止。
“要生成攻击的第二阶段，将解析URL中的JSON，从Base64转换为Array缓冲区，写入浏览器的blob存储，重命名以匹配HTML文件的名称，创建链接并自动单击将其下载到用户的浏览器，“Afrahim发现。
保存的有效负载是ZIP存档，目标交换为重定向到指向使用Cloudflare Workers仪表板脚本编辑器创建的脚本内容的URL。
这里最重要的部分是用于加载脚本的预览面板的URL可以使用随机值进行更改，可能会生成“可以执行特定代码的大量或无限数量的主机名，而传统的Anti-bot或阻止工具将会没能抓住。“
此外，即使“Cloudflare Workers没有能力托管文件，但它可以将流量从其工作人员重定向到静态文件托管服务器，而不会泄露其身份，”Afrahim发现。
接下来，脚本将从Cloudflare Workers仪表板脚本编辑器预览URL保存在受害者的计算机上，该URL使用Windows脚本宿主(Wscript)进程执行，并下载作为感染过程第三阶段的一部分而丢弃的最终有效负载。
Astaroth有效载荷将使用“十个随机且唯一的Cloudflare Worker节点链接”之一下载，每个链接都有9亿个可能的URL变体，而在32位计算机上 – 通常表明该恶意软件已登陆恶意软件分析沙箱 – “使用具有静态链接的私有Google存储库”以避免检测到基于Cloudflare的基础架构。
第三阶段使用DLL侧载来中断合法进程并加载恶意DLL，该DLL与攻击者控制的YouTube和Facebook配置文件通信，以获得Morphus Labs的Renato Marinho在分析中发现的最终命令和控制(C2)服务器地址几乎相同的Astaroth变种。
由于Afrahim在他的撰写结束时总结了这个新的Astaroth变体的内部运作的详细信息，运营此活动的演员使用Cloudflare Workers来：
•拥有一个灵活，高效，安全的网络来传播有效载荷。
•依靠可信域名和服务来扩大覆盖范围。
•隐藏沙箱并中断自动分析工具。
•为每次运行生成随机有效负载URL的创新方法。
•在妥协的情况下轻松重建操作。
不断发展的信息窃取者木马
早在1830年，Cofense发现Astaroth特洛伊木马是针对巴西受害者的恶意活动的一部分，大约8,000台机器可能在一周的攻击中受到攻击。
Astaroth能够借助密钥记录器模块，操作系统调用拦截以及使用剪贴板监控来窃取敏感信息，例如用户凭证。
Astaroth也因滥用生活在陆地的二进制文件(LOLbins)而闻名，例如Windows Management Instrumentation Console(WMIC)的命令行界面，以便在受感染的计算机上秘密下载和安装恶意负载。
在Cybereason发现的2月份活动中，看到一个新的Astaroth变种在Avast防病毒软件的aswrundll.exe Avast软件运行时动态链接库中注入恶意模块，后者用于收集受感染设备上的信息并加载额外模块。
微软后卫ATP研究小组还分析了5月和6月期间活跃的Astaroth活动，并发现它使用多阶段感染过程和几种无生命的技术来悄悄感染其目标系统。