Malware Astaroth ini didistribusikan dengan menggunakan teknik fileless (tanpa file) dan living-off-the-land. Dengan kedua teknik tersebut, sulit bagi solusi keamanan maupun anti virus untuk mendeteksi adanya malware ini.
Dikutip dari halaman ZDnet, serangan malware Astaroth dideteksi oleh tim Windows Denfender ATP, versi komersial dari antivirus gratis Windows Defender.
Anggota tim Windows Defender ATP Andrea Lelli mengatakan, bel alarm berbunyi di kantor Microsoft saat tim mendeteksi lonjakan besar-besaran dan tiba-tiba dalam penggunaan tool Command Line Instrumentation Windows (WMIC).
WMIC merupakan tool yang ada di setiap sistem operasi Windows versi terbaru, lonjakan penggunaan yang tiba-tiba ini menyarankan pola khusus untuk adanya kampanye malware.
Saat pihak Microsoft melakukan penelitian lebih dalam, malware ini rupanya menyebarkan spam secara besar-besaran melalui email dengan tautan khusus ke situs yang menampung file shortcut .LNK.
Jika pengguna mendownload dan juga menjalankan file tersebut, nantinya akan memicu tool WMIC. Kemudian akan menyerang berbagai file lainnya yang ada di sistem operasi Windows.
Selanjutnya, tool akan mendownload segala kode tambahan dan meneruskan hasilnay satu sama lain. Selain itu, proses eksekusi hanya berlangsung didalam memori dan tidak tersimpan pada ruang penyimpanan pada harddisk.
Karena itulah antivirus tidak dapat mendeteksi karena tidak ada file apapun yang tersimpan (fileless).
Akhirnya, serangan itu mendonwload dan juga menjalankan trojan Astaroth selaku pencuri informasi dan membuang kredensial berbagai aplikasi, dan juga mengupload data yang dicuri ke server yang berlokasi jauh.
Astaroth terdeteksi pertama kali pada tahun 2018 dan menargetkan pengguna di wilayah Brazil dan juga Eropa.
Juru bicara Microsoft mengatakan, 95 persen infeksi Astaroth berasal dari Brazil. Teknik eksekusi fileless dan living-off-the-land seperti yang digunakan Astaroth 3 tahun belakangan ini sering dipakai sehingga malware menjadi lebih sulit terdeteksi.
