Komplet za napade Astaroth so prvič začeli oglaševati januarja letos. Omogoča prestrezanje vpisnih podatkov za gmail, yahoo, office 365 in druge platforme.
Napad Astaroth se začne, ko žrtev klikne na lažno (phishing) povezavo, ki jo prejme v svoj e-poštni nabiralnik. Povezava žrtev preusmeri na zlonamerno spletno stran, ki je na videz identična pravi spletni strani. Žrtve pri tem ne prejmejo nobenega opozorila, da se nahajajo na ponarejeni strani.
Na strani se prikaže pristno okence za vpis v storitev, v ozadju pa zlonamerna spletna stran prestreže vpisne podatke. Astaroth ob tem zajame tudi IP-naslov in žeton, ki nastane ob vnosu kode, ki jo uporabnik prejme prek SMS-sporočila ali druge metode dvofaktorskega preverjanja pristnosti (2FA).
Napadalec je o vsakem prestreženem žetonu 2FA nemudoma obveščen prek spletnega vmesnika ali prek obvestila v aplikaciji telegram. V zadnjem koraku napada stran zajame še sejne piškotke, ki jih po uspešni avtentikaciji uporabnika izda strežnik prave spletne storitve, v katero se je uporabnik na zlonamerni strani prijavil. Napadalec lahko s pomočjo vseh teh podatkov zaobide potrebo po ponovni avtentifikaciji ob prijavi v uporabniški račun žrtve, saj je storitev prepričana, da gre za resničnega uporabnika, ki je še vedno prijavljen. S tem povsem obide tudi zaščito z 2FA.
Ta sofisticiran phishing napad je še posebej problematičen, ker napadalcu ni treba biti strokovnjak za izvajanje spletnih napadov. Kot je v zadnjih letih postalo običajno, je tudi Astaroth storitev, ki jo lahko nepridipravi kupijo od izdelovalcev zlonamerne programske opreme. Na temnem spletu se Astaroth prodaja za 2000 dolarjev, pri čemer kupec prejme še šestmesečne posodobitve.
