Astaroth Banking Trojan

اكتشف باحثو الأمن السيبراني حملةً جديدةً تُطلق فيروس حصان طروادة المصرفي "أستاروث"، والذي يستخدم عمدًا خدماتٍ شرعية كحلٍّ بديلٍ للنجاة من عمليات الإزالة. فبدلًا من الاعتماد كليًا على خوادم القيادة والتحكم (C2) التقليدية التي يُمكن للمُدافعين تحديد موقعها وتعطيلها، يستضيف المُشغّلون بيانات تكوين البرامج الضارة على منصة GitHub ويُضمّنونها في صورٍ عبر تقنية التخفي، مما يسمح للبرامج الضارة بالتعافي ومواصلة العمل حتى بعد الاستيلاء على البنية التحتية أو تعطيلها.

كيف أصبح GitHub والتخفي المعلوماتي بمثابة مركز قيادة احتياطي

يضع المهاجمون ملفات تكوين داخل صور في مستودعات GitHub العامة. عندما يتعذر على حصان طروادة الوصول إلى خوادم C2 الرئيسية، فإنه يسحب بيانات التكوين المُحدثة من ملفات الصور هذه، مما يُحوّل منصة استضافة أكواد معروفة إلى قناة توزيع نسخ احتياطية مرنة. ولأن البيانات مخفية داخل الصور، فإنها تتداخل مع حركة البيانات العادية ومستودعات التخزين، مما يُعقّد عملية الكشف والإزالة. عملت فرق الأمن مع المنصة المملوكة لشركة مايكروسوفت لإزالة المستودعات المُخالفة، مما عطّل الحملة مؤقتًا، إلا أن تصميمها يُظهر نية واضحة لمقاومة عمليات الإزالة المستقبلية.

التركيز الجغرافي والنشاط السابق

تتركز الحملة الحالية بشكل رئيسي في البرازيل، مع أن أستاروث يستهدف تاريخيًا مجموعة واسعة من دول أمريكا اللاتينية، بما في ذلك المكسيك، وأوروغواي، والأرجنتين، وباراغواي، وتشيلي، وبوليفيا، وبيرو، والإكوادور، وكولومبيا، وفنزويلا، وبنما. يتوافق هذا مع نشاط أستاروث السابق: فقد رصد الباحثون مجموعات ذات صلة (تُعرف باسم PINEAPPLE وWater Makara) في يوليو وأكتوبر 2024، استخدمت أساليب تصيد احتيالي لنشر نفس عائلة البرامج الضارة.

سلسلة العدوى

يبدأ الهجوم عادةً برسالة تصيد احتيالي ذات طابع DocuSign تحتوي على رابط. يُرسل هذا الرابط ملف ZIP يحتوي على اختصار Windows (.lnk). يؤدي فتح LNK إلى تشغيل ملف JavaScript مُعمّى، والذي يقوم بجلب المزيد من ملفات JavaScript من خوادم خارجية. يقوم ملف JavaScript المُجلب بدوره بتنزيل ملفات متعددة من أحد الخوادم المُبرمجة مسبقًا. من بين هذه الملفات، يوجد نص برمجي AutoIt يُنفذه حمولة JavaScript؛ يقوم نص AutoIt بتحميل وتشغيل shellcode، والذي بدوره يُحمّل ملف DLL قائم على Delphi. يقوم هذا الملف بفك تشفير حمولة Astaroth وحقنها في عملية RegSvc.exe مُنشأة حديثًا، مُكملًا بذلك عملية النشر.

ما يفعله أستاروث على المضيفين المصابين

تم تنفيذ برنامج Astaroth باستخدام لغة Delphi، وهو مصمم لمراقبة نشاط المستخدمين على الإنترنت، مع التركيز على زيارات المواقع المصرفية ومواقع العملات المشفرة. يتحقق البرنامج من نافذة المتصفح النشطة كل ثانية؛ وعندما يكتشف موقعًا مصرفيًا أو موقعًا مستهدفًا للعملات المشفرة، فإنه يتفاعل مع أحداث لوحة المفاتيح لالتقاط ضغطات المفاتيح وجمع بيانات الاعتماد. ينقل حصان طروادة البيانات المسروقة إلى المهاجمين عبر نفق Ngrok العكسي، مما يسمح باستخراجها حتى في حال تقييد اتصال C2 المباشر.

أمثلة على الأهداف المرصودة

قام الباحثون بإدراج مجموعة من المواقع المصرفية والمواقع المرتبطة بالعملات المشفرة والتي لوحظ أنها تخضع للمراقبة بواسطة البرامج الضارة:

• caixa.gov.br
• safra.com.br
• itau.com.br
• bancooriginal.com.br
• سانتانديرنت.كوم.بر
• btgpactual.com
• etherscan.io
• بينانس.كوم
• bitcointrade.com.br
• metamask.io
• foxbit.com.br
• localbitcoins.com

قدرات مكافحة التحليل

يتضمن Astaroth العديد من تقنيات مكافحة التحليل. فهو يفحص البيئة بحثًا عن أدوات المحاكاة الافتراضية والمحاكاة وتصحيح الأخطاء وأدوات التحليل الشائعة (مثل QEMU Guest Agent وHookExplorer وIDA Pro وImmunity Debugger وPE Tools وWinDbg وWireshark وأدوات مماثلة)، ويتوقف تلقائيًا عند اكتشاف هذه الأدوات. تُصعّب هذه الفحوصات على المدافعين التحليل الديناميكي وتأمين بيئة الحماية.

التحقق من الاستمرارية والسياج الجغرافي والمواقع

للحفاظ على استمرارية الحملة، تُرسِل اختصارًا إلى مجلد بدء تشغيل ويندوز، والذي يستدعي البرنامج النصي AutoIt عند إعادة التشغيل، مما يضمن إعادة تشغيل البرنامج الخبيث تلقائيًا. تتضمن سلسلة العدوى تحديد المواقع الجغرافية: حيث يُستهدف عنوان URL الأولي الذي يجلبه LNK حسب المنطقة، كما يتحقق البرنامج الخبيث من إعدادات النظام المحلية، ويتجنب التشغيل على الأجهزة المُعَيَّنة على الإعدادات المحلية الإنجليزية/الأمريكية. تُضيِّق هذه الإجراءات الوقائية نطاق الضحايا وتُقلِّل من التعرض غير المقصود.

التأثير التشغيلي

بإساءة استخدام GitHub لاستضافة تحديثات تكوين خفية، أنشأ المُشغِّلون قناة احتياطية خفيفة الوزن يصعب إزالتها لـ Astaroth. نسّق الباحثون مع المنصة المملوكة لشركة Microsoft لإزالة المستودعات الخبيثة، مما أدى إلى تعطيل الحملة مؤقتًا. يُظهر استخدام الخدمات الشرعية كحل بديل حاجة المدافعين إلى رصد إساءة استخدام منصات السحابة واستضافة الأكواد كجزء من رصد القيادة والتحكم.

ملخص

تُسلّط هذه الحملة الضوء على اتجاهين يجب على المدافعين مراعاتهما: (1) تزايد استخدام الجهات الفاعلة للتهديدات لمنصات خارجية موثوقة كبنية تحتية مرنة، و(2) دمج البرمجيات الخبيثة الحديثة لنصوص برمجية متعددة ومكونات مُجمّعة (جافا سكريبت → أوتو إت → شيل كود → دلفي دي إل إل) لتعقيد عملية التحليل وإزالة الثبات. إنّ الجمع بين بدائل التكوين القائمة على جيثب، والسياج الجغرافي المُستهدف، وعمليات التحقق القوية من التحليل، ومراقبة نشاط المتصفح، يجعل من أستاروث حصان طروادة مصرفيًا شديد المرونة وينتهك الخصوصية. إنّ اليقظة ضد إغراءات التصيد الاحتيالي، ومراقبة نشاط صور جيثب غير الاعتيادي، والكشف الدقيق عن نقاط النهاية الذي يكشف السلسلة متعددة المراحل، كلها عوامل أساسية للكشف عن الإصابات وتعطيلها.