Slevová nabídka pro více licencí
Databáze hrozeb Bankovní Trojan Bankovní trojan Astaroth

Bankovní trojan Astaroth

V roce Mezo v roce Bankovní Trojan
Přeložit do:

Výzkumníci v oblasti kybernetické bezpečnosti identifikovali novou kampaň s bankovním trojským koněm Astaroth, která záměrně využívá legitimní služby jako záložní řešení k přežití útoků. Provozovatelé se nespoléhají pouze na tradiční servery Command-and-Control (C2), které mohou obránci lokalizovat a narušit, ale hostují konfigurační data malwaru na GitHubu a vkládají je do obrazů pomocí steganografie – což malwaru umožňuje obnovit se a pokračovat v provozu i po zabavení nebo deaktivaci infrastruktury.

Jak se GitHub a steganografie stávají záložním C2

Útočníci umisťují konfigurační objekty blob do obrázků na veřejných repozitářích GitHub. Když se trojský kůň nemůže dostat ke svým primárním serverům C2, stáhne aktualizovaná konfigurační data z těchto obrazových souborů – čímž efektivně promění známou platformu pro hostování kódu v odolný kanál pro doručování záloh. Protože jsou data skryta uvnitř obrázků, mísí se s běžným provozem a repozitáři a komplikují jejich detekci a odstranění. Bezpečnostní týmy spolupracovaly s platformou vlastněnou společností Microsoft na odstranění problematických repozitářů, což dočasně narušilo kampaň, ale design jasně ukazuje záměr bránit se budoucímu odstranění.

Geografické zaměření a předchozí činnost

Současná kampaň se soustředí především na Brazílii, ačkoli Astaroth se historicky zaměřuje na širokou škálu latinskoamerických zemí, včetně Mexika, Uruguaye, Argentiny, Paraguaye, Chile, Bolívie, Peru, Ekvádoru, Kolumbie, Venezuely a Panamy. To je v souladu s dřívější aktivitou Astarothu: výzkumníci v červenci a říjnu 2024 označili související klastry (sledované jako PINEAPPLE a Water Makara), které používaly phishingové návnady k distribuci stejné rodiny malwaru.

Řetězec infekce

Útok obvykle začíná phishingovou zprávou s tématem DocuSign, která obsahuje odkaz. Tento odkaz odešle ZIP soubor se zástupcem systému Windows (.lnk). Otevřením LNK se spustí obfuskovaný JavaScriptový stub, který načte další JavaScript z externě hostovaných serverů. Načtený JavaScript následně stáhne několik souborů z jednoho z několika pevně naprogramovaných serverů. Mezi těmito soubory je skript AutoIt spuštěný datovou částí JavaScriptu; skript AutoIt načte a spustí shellcode, který poté načte knihovnu DLL založenou na Delphi. Tato knihovna DLL dešifruje datovou část Astaroth a vloží ji do nově vytvořeného procesu RegSvc.exe – čímž dokončí nasazení.

Co Astaroth dělá na infikovaných hostitelích

Astaroth je implementován v Delphi a je navržen tak, aby monitoroval webovou aktivitu uživatelů se zaměřením na návštěvy bankovních a kryptoměnových webů. Každou sekundu kontroluje aktivní okno prohlížeče; když detekuje cílený bankovní nebo krypto web, zachytí události klávesnice, aby zachytil stisknutí kláves a získal přihlašovací údaje. Trojan přenáší ukradená data zpět útočníkům pomocí reverzního proxy tunelu Ngrok, což umožňuje únik i v případě, že je omezeno přímé připojení C2.

Příklady pozorovaných cílů

Výzkumníci uvedli soubor bankovních a kryptoměnových stránek, které malware monitoroval:

  • caixa.gov.br
  • safra.com.br
  • itau.com.br
  • bancooriginal.com.br
  • santandernet.com.br
  • btgpactual.com
  • etherscan.io
  • binance.com
  • bitcointrade.com.br
  • metamask.io
  • foxbit.com.br
  • localbitcoins.com

Schopnosti antianalýzy

Astaroth obsahuje řadu antianalytických technik. Prohledává prostředí a hledá virtualizační, emulační, ladicí a běžné analytické nástroje (mezi příklady patří QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark a podobné nástroje) a v případě detekce takových nástrojů se sám ukončí. Tyto kontroly obráncům ztěžují dynamickou analýzu a sandboxing.

Kontroly perzistence, geofencingu a lokalizace

Aby kampaň zachovala trvalost, umístí do složky Po spuštění systému Windows zástupce, který po restartu spustí skript AutoIt, čímž zajistí automatické opětovné spuštění malwaru. Infekční řetězec zahrnuje geofencing: počáteční URL načtená LNK je cílena podle regionu a malware také ověřuje systémové nastavení – vyhýbá se spuštění na počítačích s nastavenou angličtinou/Spojenými státy. Tato ochranná opatření zužují profil obětí a snižují náhodné vystavení.

Provozní dopad

Zneužitím GitHubu k hostování skrytých aktualizací konfigurace vytvořili operátoři pro Astaroth lehký a obtížně odstranitelný záložní kanál. Výzkumníci se koordinovali s platformou vlastněnou společností Microsoft, aby odstranili škodlivé repozitáře, což dočasně narušilo kampaň. Používání legitimních služeb pro zálohování ukazuje na potřebu, aby obránci monitorovali zneužívání cloudových a kódových platforem jako součást lovu C2.

Shrnutí

Tato kampaň zdůrazňuje dva trendy, které musí obránci zvážit: (1) útočníci stále častěji používají respektované platformy třetích stran jako odolnou infrastrukturu a (2) moderní malware kombinuje více skriptů a kompilovaných komponent (JavaScript → AutoIt → shellcode → Delphi DLL), aby zkomplikoval analýzu a odstraňování perzistencí. Kombinace konfiguračního záložního systému založeného na GitHubu, cíleného geofencingu, silných antianalytických kontrol a monitorování aktivity prohlížeče činí z Astarothu obzvláště odolného bankovního trojana narušujícího soukromí. Klíčem k detekci a narušení infekcí je ostražitost vůči phishingovým návnadám, monitorování neobvyklé aktivity obrázků na GitHubu a robustní detekce koncových bodů, která odhaluje vícestupňový řetězec.

Trendy

Nejvíce shlédnuto

Načítání...