Astaroth est une campagne de logiciel malveillant sans fichier dans le cadre de laquelle des spams contenant des liens vers un fichier de raccourci .LNK sont envoyés à des utilisateurs.
Voici les principe de base de cette attaque.
Remarque :
Nombre de logiciels actuels affichent un avertissement sur le fichier et certains serveurs d'envoi empêchent l'expédition de telle pièce jointe.
L'attaquant génère un fichier .lnk à attacher à l'email de spam envoyé.
Ce fichier a la particularité de pouvoir exécuter une commande via la cible (target ci-dessous).
Voici un script PowerShell qui permet de créer un fichier suivi_coli.lnk tel que souhaité.
On exécute le contenu d'un fichier '$scriptPath', mais l'idéal serait d'exécuter le code de commandes pour éviter le téléchargement du fichier (voir exploitation).
Le script PowerShell pourrait ensuite récupérer des cookies de session d'un utilisateur authentifié et les transmettre à l'auteur (par email ou simple requête) sans que l'utilisateur ne voit quoique ce soit.
Les cookies sont stockés dans des répertoires en fonction des navigateurs et des profils utilisateurs ; il convient donc d'investiguer dans ce sens pour être efficace.
Les logs de serveurs ainsi que les empreintes numériques des navigateurs de l'utilisateur ciblé sont nécessaires pour établir les données à cibler.
Exemple pour le navigateur Edge : C:\Users\{USER}\AppData\Local\Microsoft\Edge\User Data\{PROFIL ou DEFAULT}\Network\Cookies
On peut également intégrer cette commande PowerShell :
Cette commande télécharge le script distant puis l'exécute.
Cette attaque est tout de même limitée par de nombreuses contre-mesures : serveur d'envoi des emails, exécution de scripts locaux, connaissance des logiciels de navigation...
La réussite est également dépendante de la mauvaise formation de l'utilisateur qui exécuterait le lien .lnk en début de processus.
Cela confirme le fait que la maintenance des infrastructures et des applicatifs au fil des évolutions est nécessaire et que le formation des utilisateurs reste primordiale.