Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Troià bancari Troià bancari Astaroth

Troià bancari Astaroth

El Mezo el Troià bancari
Traduir a:

Investigadors de ciberseguretat han identificat una nova campanya que implementa el troià bancari Astaroth i que utilitza deliberadament serveis legítims com a recurs per sobreviure a les detencions. En lloc de confiar únicament en els servidors tradicionals de comandament i control (C2) que els defensors poden localitzar i interrompre, els operadors allotgen dades de configuració de programari maliciós a GitHub i les incrusten en imatges mitjançant esteganografia, cosa que permet que el programari maliciós es recuperi i continuï funcionant fins i tot després que la infraestructura sigui confiscada o desactivada.

Com GitHub i Steganography es converteixen en una còpia de seguretat de C2

Els atacants col·loquen arxius de configuració dins d'imatges en repositoris públics de GitHub. Quan el troià no pot arribar als seus servidors C2 principals, extreu dades de configuració actualitzades d'aquests fitxers d'imatge, convertint efectivament una plataforma d'allotjament de codi coneguda en un canal de lliurament de còpies de seguretat resilient. Com que les dades estan amagades dins de les imatges, es barregen amb el trànsit i els repositoris normals i fan que la detecció i la retirada siguin més complicades. Els equips de seguretat van treballar amb la plataforma propietat de Microsoft per eliminar els repositoris ofensius, que van interrompre temporalment la campanya, però el disseny mostra una clara intenció de resistir futures retirades.

Enfocament geogràfic i activitat prèvia

La campanya actual es concentra principalment al Brasil, tot i que Astaroth històricament s'ha dirigit a un ampli conjunt de països llatinoamericans, com ara Mèxic, Uruguai, Argentina, Paraguai, Xile, Bolívia, Perú, Equador, Colòmbia, Veneçuela i Panamà. Això és coherent amb l'activitat anterior d'Astaroth: els investigadors van assenyalar clústers relacionats (seguits com a PINEAPPLE i Water Makara) al juliol i octubre de 2024 que utilitzaven esquers de phishing per distribuir la mateixa família de programari maliciós.

La cadena d’infecció

L'atac normalment comença amb un missatge de phishing amb temàtica de DocuSign que conté un enllaç. Aquest enllaç lliura un ZIP que conté una drecera de Windows (.lnk). En obrir el LNK, s'inicia un stub de JavaScript ofuscat que obté JavaScript addicional de servidors allotjats externament. El JavaScript recuperat, al seu torn, descarrega diversos fitxers d'un dels diversos servidors codificats. Entre aquests fitxers hi ha un script AutoIt executat per la càrrega útil de JavaScript; el script AutoIt carrega i executa shellcode, que després carrega una DLL basada en Delphi. Aquesta DLL desxifra la càrrega útil d'Astaroth i l'injecta en un procés RegSvc.exe recentment creat, completant el desplegament.

Què fa Astaroth en hostes infectats

L'Astaroth està implementat a Delphi i està dissenyat per monitoritzar l'activitat web dels usuaris, centrant-se en les visites a llocs web relacionats amb la banca i les criptomonedes. Comprova la finestra activa del navegador cada segon; quan detecta un lloc bancari o de criptomonedes objectiu, enganxa els esdeveniments del teclat per capturar les pulsacions de tecles i obtenir credencials. El troià transmet les dades robades als atacants mitjançant un túnel de proxy invers Ngrok, permetent l'exfiltració fins i tot quan la connectivitat C2 directa està restringida.

Exemples d’objectius observats

Els investigadors van enumerar un conjunt de llocs web relacionats amb la banca i les criptomonedes que el programari maliciós va monitoritzar:

  • caixa.gov.br
  • safra.com.br
  • itau.com.br
  • bancooriginal.com.br
  • santandernet.com.br
  • btgpactual.com
  • etherscan.io
  • binance.com
  • bitcointrade.com.br
  • metamask.io
  • foxbit.com.br
  • localbitcoins.com

Capacitats antianàlisi

L'Astaroth inclou nombroses tècniques anti-anàlisi. Examina l'entorn per a eines de virtualització, emulació, depuració i anàlisi comunes (exemples com QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark i eines similars) i es tancarà si es detecten aquestes eines. Aquestes comprovacions dificulten l'anàlisi dinàmica i el sandboxing per als defensors.

Persistència, geofencing i comprovació de la configuració regional

Per mantenir la persistència, la campanya col·loca una drecera a la carpeta d'inici de Windows que invoca l'script AutoIt en reiniciar, garantint que el programari maliciós es torni a iniciar automàticament. La cadena d'infecció inclou geofencing: l'URL inicial obtinguda pel LNK es dirigeix per regió i el programari maliciós també verifica la configuració regional del sistema; evita executar-se en màquines configurades amb la configuració regional d'anglès/Estats Units. Aquestes mesures de seguretat redueixen el perfil de la víctima i redueixen l'exposició accidental.

Impacte operacional

En abusar de GitHub per allotjar actualitzacions de configuració ocultes, els operadors van crear un canal de còpia de seguretat lleuger i difícil d'eliminar per a Astaroth. Els investigadors es van coordinar amb la plataforma propietat de Microsoft per eliminar els repositoris maliciosos, cosa que va interrompre temporalment la campanya. L'ús de serveis legítims com a alternativa demostra la necessitat que els defensors controlin l'abús de les plataformes d'allotjament de codi i núvol com a part de la caça de C2.

Resum

Aquesta campanya destaca dues tendències que els defensors han de tenir en compte: (1) els actors d'amenaces utilitzen cada cop més plataformes de tercers respectades com a infraestructura resistent i (2) el programari maliciós modern combina múltiples scripts i components compilats (JavaScript → AutoIt → shellcode → Delphi DLL) per complicar l'anàlisi i l'eliminació de la persistència. La combinació de la configuració alternativa basada en GitHub, la geovalla específica, les fortes comprovacions antianàlisi i la supervisió de l'activitat del navegador fan d'Astaroth un troià bancari particularment resistent i invasiu per a la privadesa. La vigilància contra els esquers de phishing, la supervisió de l'activitat inusual de les imatges de GitHub i la detecció robusta de punts finals que detecta la cadena multietapa són clau per detectar i interrompre les infeccions.

Tendència

Versió de la vostra bústia de correu deixarà de ser...

Phishing, Correu brossa
Els estafadors en línia desenvolupen contínuament nous trucs per enganyar els usuaris i robar dades valuoses. Un exemple és l'estafa "Versió de la vostra bústia de correu es descontinuarà", una campanya de phishing dissenyada per obtenir credencials d'inici de sessió de víctimes desprevingudes. Els experts en ciberseguretat adverteixen que aquests missatges fraudulents no estan associats a cap...

Més vist

Carregant...