Astaroth Banking Trojan

সাইবার নিরাপত্তা গবেষকরা Astaroth ব্যাংকিং ট্রোজান সরবরাহের একটি নতুন প্রচারণা শনাক্ত করেছেন যা ইচ্ছাকৃতভাবে বৈধ পরিষেবাগুলিকে টেকডাউন থেকে বাঁচতে ফলব্যাক হিসাবে ব্যবহার করে। শুধুমাত্র ঐতিহ্যবাহী কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের উপর নির্ভর করার পরিবর্তে, যা ডিফেন্ডাররা সনাক্ত করতে এবং ব্যাহত করতে পারে, অপারেটররা GitHub-এ ম্যালওয়্যার কনফিগারেশন ডেটা হোস্ট করছে এবং স্টেগানোগ্রাফির মাধ্যমে ছবিতে এটি এম্বেড করছে - যা ম্যালওয়্যারটিকে পুনরুদ্ধার করতে এবং অবকাঠামো জব্দ বা অক্ষম করার পরেও কাজ চালিয়ে যেতে দেয়।

কিভাবে GitHub এবং স্টেগানোগ্রাফি একটি ব্যাকআপ C2 হয়ে ওঠে

আক্রমণকারীরা পাবলিক গিটহাব রিপোজিটরিতে ছবির ভেতরে কনফিগারেশন ব্লব রাখে। যখন ট্রোজান তার প্রাথমিক C2 সার্ভারে পৌঁছাতে পারে না, তখন এটি সেই ইমেজ ফাইলগুলি থেকে আপডেট করা কনফিগারেশন ডেটা টেনে নেয় - কার্যকরভাবে একটি সুপরিচিত কোড-হোস্টিং প্ল্যাটফর্মকে একটি স্থিতিস্থাপক ব্যাকআপ ডেলিভারি চ্যানেলে পরিণত করে। যেহেতু ডেটা ছবির ভেতরে লুকানো থাকে, তাই এটি স্বাভাবিক ট্র্যাফিক এবং রিপোজিটরিতে মিশে যায় এবং সনাক্তকরণ এবং সরিয়ে ফেলা আরও জটিল করে তোলে। নিরাপত্তা দলগুলি আপত্তিকর রিপোগুলি অপসারণের জন্য মাইক্রোসফ্ট-মালিকানাধীন প্ল্যাটফর্মের সাথে কাজ করেছিল, যা সাময়িকভাবে প্রচারণা ব্যাহত করেছিল, তবে নকশাটি ভবিষ্যতের টেকডাউন প্রতিরোধ করার স্পষ্ট অভিপ্রায় দেখায়।

ভৌগোলিক ফোকাস এবং পূর্ববর্তী কার্যকলাপ

বর্তমান প্রচারণা মূলত ব্রাজিলে কেন্দ্রীভূত, যদিও Astaroth ঐতিহাসিকভাবে মেক্সিকো, উরুগুয়ে, আর্জেন্টিনা, প্যারাগুয়ে, চিলি, বলিভিয়া, পেরু, ইকুয়েডর, কলম্বিয়া, ভেনেজুয়েলা এবং পানামা সহ ল্যাটিন আমেরিকার বিস্তৃত দেশগুলিকে লক্ষ্য করে। এটি পূর্ববর্তী Astaroth কার্যকলাপের সাথে সামঞ্জস্যপূর্ণ: গবেষকরা জুলাই এবং অক্টোবর 2024 সালে সম্পর্কিত ক্লাস্টারগুলিকে (PINEAPPLE এবং Water Makara হিসাবে ট্র্যাক করা হয়েছিল) চিহ্নিত করেছিলেন যা একই পরিবারের ম্যালওয়্যার বিতরণের জন্য ফিশিং লোভ ব্যবহার করেছিল।

সংক্রমণ শৃঙ্খল

আক্রমণটি সাধারণত একটি DocuSign-থিমযুক্ত ফিশিং বার্তা দিয়ে শুরু হয় যার মধ্যে একটি লিঙ্ক থাকে। সেই লিঙ্কটি একটি ZIP প্রদান করে যার মধ্যে একটি Windows শর্টকাট (.lnk) থাকে। LNK খোলার ফলে একটি অস্পষ্ট JavaScript স্টাব চালু হয় যা বহিরাগতভাবে হোস্ট করা সার্ভার থেকে অতিরিক্ত JavaScript আনে। আনা জাভাস্ক্রিপ্টটি বেশ কয়েকটি হার্ড-কোডেড সার্ভারের একটি থেকে একাধিক ফাইল ডাউনলোড করে। এই ফাইলগুলির মধ্যে একটি AutoIt স্ক্রিপ্ট রয়েছে যা JavaScript পেলোড দ্বারা সম্পাদিত হয়; AutoIt স্ক্রিপ্টটি শেলকোড লোড করে এবং চালায়, যা পরে একটি ডেলফি-ভিত্তিক DLL লোড করে। সেই DLL Astaroth পেলোড ডিক্রিপ্ট করে এবং এটিকে একটি নতুন তৈরি RegSvc.exe প্রক্রিয়ায় ইনজেক্ট করে - স্থাপনা সম্পন্ন করে।

সংক্রামিত হোস্টের উপর অ্যাস্টারোথ কী করে?

Astaroth ডেলফিতে বাস্তবায়িত হয় এবং এটি ব্যবহারকারীদের ওয়েব কার্যকলাপ পর্যবেক্ষণ করার জন্য ডিজাইন করা হয়েছে, ব্যাংকিং এবং ক্রিপ্টোকারেন্সি-সম্পর্কিত ওয়েবসাইটগুলিতে ভিজিট করার উপর দৃষ্টি নিবদ্ধ করে। এটি প্রতি সেকেন্ডে সক্রিয় ব্রাউজার উইন্ডো পরীক্ষা করে; যখন এটি একটি লক্ষ্যযুক্ত ব্যাংকিং বা ক্রিপ্টো সাইট সনাক্ত করে, তখন এটি কীস্ট্রোক এবং ফসলের শংসাপত্রগুলি ক্যাপচার করার জন্য কীবোর্ড ইভেন্টগুলিকে হুক করে। ট্রোজানটি একটি Ngrok রিভার্স-প্রক্সি টানেল ব্যবহার করে আক্রমণকারীদের কাছে চুরি করা ডেটা ফেরত পাঠায়, সরাসরি C2 সংযোগ সীমাবদ্ধ থাকা সত্ত্বেও এক্সফিল্ট্রেশনের অনুমতি দেয়।

পর্যবেক্ষণকৃত লক্ষ্যবস্তুর উদাহরণ

গবেষকরা ম্যালওয়্যার দ্বারা পর্যবেক্ষণ করা ব্যাংকিং এবং ক্রিপ্টো-সম্পর্কিত সাইটগুলির একটি সেট তালিকাভুক্ত করেছেন:

• caixa.gov.br সম্পর্কে
• safra.com.br সম্পর্কে
• itau.com.br সম্পর্কে
• bancooriginal.com.br সম্পর্কে
• santandernet.com.br সম্পর্কে
• btgpactual.com সম্পর্কে
• etherscan.io সম্পর্কে
• binance.com সম্পর্কে
• bitcointrade.com.br সম্পর্কে
• মেটামাস্ক.আইও
• অনুসরণ
• লোকালবিটকয়েনস.কম

বিশ্লেষণ-বিরোধী ক্ষমতা

Astaroth-এ অসংখ্য অ্যান্টি-অ্যানালাইসিস কৌশল রয়েছে। এটি ভার্চুয়ালাইজেশন, ইমুলেশন, ডিবাগিং এবং সাধারণ বিশ্লেষণ সরঞ্জামগুলির জন্য পরিবেশ অনুসন্ধান করে (উদাহরণস্বরূপ QEMU গেস্ট এজেন্ট, হুকএক্সপ্লোরার, IDA প্রো, ইমিউনিটি ডিবাগার, PE টুলস, WinDbg, Wireshark এবং অনুরূপ সরঞ্জামগুলি অন্তর্ভুক্ত) এবং যদি এই ধরণের সরঞ্জামগুলি সনাক্ত করা হয় তবে এটি নিজেই বন্ধ হয়ে যাবে। এই পরীক্ষাগুলি ডিফেন্ডারদের জন্য গতিশীল বিশ্লেষণ এবং স্যান্ডবক্সিংকে আরও কঠিন করে তোলে।

স্থায়িত্ব, জিওফেন্সিং এবং লোকেল চেক

স্থায়িত্ব বজায় রাখার জন্য, ক্যাম্পেইনটি উইন্ডোজ স্টার্টআপ ফোল্ডারে একটি শর্টকাট ড্রপ করে যা রিবুট করার সময় AutoIt স্ক্রিপ্টটি চালু করে, যা নিশ্চিত করে যে ম্যালওয়্যারটি স্বয়ংক্রিয়ভাবে পুনরায় চালু হয়। সংক্রমণ শৃঙ্খলে জিওফেন্সিং অন্তর্ভুক্ত: LNK দ্বারা প্রাপ্ত প্রাথমিক URLটি অঞ্চল অনুসারে লক্ষ্যবস্তু করা হয় এবং ম্যালওয়্যারটি সিস্টেম লোকেলও যাচাই করে - এটি ইংরেজি/মার্কিন যুক্তরাষ্ট্রের লোকেলে সেট করা মেশিনগুলিতে চালানো এড়ায়। এই সুরক্ষা ব্যবস্থাগুলি এর শিকার প্রোফাইলকে সংকুচিত করে এবং দুর্ঘটনাজনিত এক্সপোজার হ্রাস করে।

পরিচালনাগত প্রভাব

গোপন কনফিগারেশন আপডেট হোস্ট করার জন্য GitHub-এর অপব্যবহার করে, অপারেটররা Astaroth-এর জন্য একটি হালকা, টেকডাউন করা কঠিন ব্যাকআপ চ্যানেল তৈরি করেছে। গবেষকরা মাইক্রোসফ্ট-মালিকানাধীন প্ল্যাটফর্মের সাথে সমন্বয় করে ক্ষতিকারক সংগ্রহস্থলগুলি সরিয়ে ফেলেন, যা সাময়িকভাবে প্রচারণা ব্যাহত করে। ফলব্যাকের জন্য বৈধ পরিষেবাগুলির ব্যবহার C2 হান্টিংয়ের অংশ হিসাবে ক্লাউড এবং কোড-হোস্টিং প্ল্যাটফর্মের অপব্যবহার পর্যবেক্ষণ করার জন্য ডিফেন্ডারদের প্রয়োজনীয়তা প্রদর্শন করে।

সারাংশ

এই প্রচারণা দুটি প্রবণতা তুলে ধরে যা রক্ষাকারীদের বিবেচনা করা উচিত: (১) হুমকিদাতারা ক্রমবর্ধমানভাবে সম্মানিত তৃতীয়-পক্ষের প্ল্যাটফর্মগুলিকে স্থিতিস্থাপক অবকাঠামো হিসাবে ব্যবহার করে এবং (২) আধুনিক ম্যালওয়্যার বিশ্লেষণ এবং স্থায়িত্ব অপসারণকে জটিল করার জন্য একাধিক স্ক্রিপ্টিং এবং সংকলিত উপাদান (জাভাস্ক্রিপ্ট → অটোআইটি → শেলকোড → ডেলফি ডিএলএল) মিশ্রিত করে। গিটহাব-ভিত্তিক কনফিগারেশন ফলব্যাক, টার্গেটেড জিওফেন্সিং, শক্তিশালী অ্যান্টি-অ্যানালাইসিস চেক এবং ব্রাউজার অ্যাক্টিভিটি মনিটরিংয়ের সমন্বয় অ্যাস্টারোথকে একটি বিশেষভাবে স্থিতিস্থাপক এবং গোপনীয়তা-আক্রমণকারী ব্যাংকিং ট্রোজান করে তোলে। ফিশিং লোভের বিরুদ্ধে সতর্কতা, অস্বাভাবিক গিটহাব ইমেজ অ্যাক্টিভিটির জন্য পর্যবেক্ষণ এবং মাল্টি-স্টেজ চেইন চিহ্নিত করে এমন শক্তিশালী এন্ডপয়েন্ট সনাক্তকরণ সংক্রমণ সনাক্তকরণ এবং ব্যাহত করার মূল চাবিকাঠি।