Банков троянец Astaroth
Изследователи по киберсигурност са идентифицирали нова кампания, разпространяваща банковия троянски кон Astaroth, който умишлено използва легитимни услуги като резервен вариант за оцеляване при атаки. Вместо да разчитат единствено на традиционните сървъри за командване и контрол (C2), които защитниците могат да локализират и нарушат работата на системата, операторите хостват данни за конфигурация на зловреден софтуер в GitHub и ги вграждат в изображения чрез стеганография, което позволява на зловредния софтуер да се възстанови и да продължи да работи дори след като инфраструктурата е иззета или деактивирана.
Съдържание
Как GitHub и стеганографията се превръщат в резервно копие на C2
Атакуващите поставят конфигурационни блобове (blobs) в изображения в публични хранилища на GitHub. Когато троянският кон не може да достигне до основните си C2 сървъри, той извлича актуализирани конфигурационни данни от тези файлове с изображения – ефективно превръщайки добре позната платформа за хостинг на код в устойчив канал за доставка на резервни копия. Тъй като данните са скрити в изображенията, те се сливат с нормалния трафик и хранилища и правят откриването и премахването им по-сложни. Екипите по сигурността са работили с платформата, собственост на Microsoft, за да премахнат проблемните хранилища, което временно е нарушило кампанията, но дизайнът показва ясно намерение за противодействие на бъдещи премахването им.
Географски фокус и предишна дейност
Настоящата кампания е концентрирана предимно в Бразилия, въпреки че Astaroth исторически е насочена към широк набор от латиноамерикански страни, включително Мексико, Уругвай, Аржентина, Парагвай, Чили, Боливия, Перу, Еквадор, Колумбия, Венецуела и Панама. Това е в съответствие с по-ранната активност на Astaroth: изследователи са маркирали свързани клъстери (проследени като PINEAPPLE и Water Makara) през юли и октомври 2024 г., които са използвали фишинг примамки за разпространение на същото семейство зловреден софтуер.
Веригата на инфекцията
Атаката обикновено започва с фишинг съобщение с тема DocuSign, съдържащо линк. Този линк доставя ZIP файл, който съдържа пряк път за Windows (.lnk). Отварянето на LNK стартира обфускиран JavaScript файл, който извлича допълнителен JavaScript код от външно хоствани сървъри. Извлеченият JavaScript код от своя страна изтегля множество файлове от един от няколко твърдо кодирани сървъра. Сред тези файлове е AutoIt скрипт, изпълняван от JavaScript полезния товар; AutoIt скриптът зарежда и изпълнява shellcode, който след това зарежда Delphi-базиран DLL файл. Този DLL файл декриптира полезния товар Astaroth и го инжектира в новосъздадения процес RegSvc.exe – завършвайки внедряването.
Какво прави Астарот върху заразените хостове
Astaroth е имплементиран в Delphi и е проектиран да наблюдава уеб активността на потребителите, като се фокусира върху посещенията на банкови и криптовалутни уебсайтове. Той проверява активния прозорец на браузъра всяка секунда; когато открие целеви банков или крипто сайт, той записва събития от клавиатурата, за да улови натисканията на клавиши и да събере идентификационни данни. Троянският кон предава откраднати данни обратно на нападателите, използвайки обратен прокси тунел на Ngrok, което позволява проникване дори когато директната C2 свързаност е ограничена.
Примери за наблюдавани цели
Изследователите изброиха набор от банкови и крипто-свързани сайтове, наблюдавани от зловредния софтуер:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
Възможности за антианализ
Astaroth включва множество техники за анти-анализ. Той сондира средата за виртуализация, емулация, дебъгване и общи инструменти за анализ (примери включват QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark и подобни инструменти) и ще се прекрати, ако такива инструменти бъдат открити. Тези проверки затрудняват динамичния анализ и пясъчника за защитниците.
Проверки на постоянство, геозониране и локализация
За да се поддържа постоянство, кампанията поставя пряк път в папката „Стартиране“ на Windows, който извиква скрипта AutoIt при рестартиране, като по този начин се гарантира автоматичното рестартиране на зловредния софтуер. Веригата на заразяване включва геозониране: първоначалният URL адрес, извлечен от LNK, е насочен по регион, а зловредният софтуер също така проверява системния език – избягва изпълнението на машини, настроени на английски/американски език. Тези предпазни мерки стесняват профила на жертвата и намаляват случайното излагане.
Оперативно въздействие
Чрез злоупотреба с GitHub за хостване на скрити актуализации на конфигурацията, операторите създадоха лек и труден за премахване резервен канал за Astaroth. Изследователите се координираха с платформата, собственост на Microsoft, за да премахнат злонамерените хранилища, което временно наруши кампанията. Използването на легитимни услуги за резервен вариант показва необходимостта защитниците да наблюдават злоупотребата с облачни и код-хостинг платформи като част от лова на C2.
Обобщение
Тази кампания подчертава две тенденции, които защитниците трябва да вземат предвид: (1) злонамерените лица все по-често използват уважавани платформи на трети страни като устойчива инфраструктура и (2) съвременният зловреден софтуер комбинира множество скриптове и компилирани компоненти (JavaScript → AutoIt → shellcode → Delphi DLL), за да усложни анализа и премахването на постоянство. Комбинацията от резервна конфигурация, базирана на GitHub, целенасочено геозониране, силни анти-аналитични проверки и наблюдение на активността на браузъра прави Astaroth особено устойчив и нарушаващ поверителността банков троянски кон. Бдителността срещу фишинг примамки, наблюдението за необичайна активност на изображения в GitHub и надеждното откриване на крайни точки, което забелязва многоетапната верига, са ключови за откриване и прекъсване на инфекциите.
