Rabattilbud med flere licenser
Trusseldatabase Bank Trojan Astaroth Banking Trojan

Astaroth Banking Trojan

Med Mezo i Bank Trojan
Oversæt til:

Cybersikkerhedsforskere har identificeret en ny kampagne, der leverer Astaroth-banktrojanen, som bevidst bruger legitime tjenester som reserve for at overleve nedlukninger. I stedet for udelukkende at stole på traditionelle Command-and-Control (C2)-servere, som forsvarere kan finde og forstyrre, hoster operatørerne malwarekonfigurationsdata på GitHub og integrerer dem i billeder via steganografi - hvilket gør det muligt for malwaren at gendanne og fortsætte med at fungere, selv efter at infrastrukturen er beslaglagt eller deaktiveret.

Hvordan GitHub og steganografi bliver en backup af C2

Angriberne placerer konfigurationsblobs i billeder på offentlige GitHub-lagre. Når trojaneren ikke kan nå sine primære C2-servere, trækker den opdaterede konfigurationsdata fra disse billedfiler – hvilket effektivt forvandler en velkendt kodehostingplatform til en robust backup-leveringskanal. Fordi dataene er skjult i billeder, blandes de med normal trafik og lagre og gør det mere kompliceret at opdage og fjerne dem. Sikkerhedsteams arbejdede sammen med den Microsoft-ejede platform for at fjerne de problematiske lagre, hvilket midlertidigt afbrød kampagnen, men designet viser en klar intention om at modstå fremtidige fjernelser.

Geografisk fokus og tidligere aktivitet

Den nuværende kampagne er primært koncentreret i Brasilien, selvom Astaroth historisk set er rettet mod en bred vifte af latinamerikanske lande, herunder Mexico, Uruguay, Argentina, Paraguay, Chile, Bolivia, Peru, Ecuador, Colombia, Venezuela og Panama. Dette stemmer overens med tidligere Astaroth-aktivitet: Forskere markerede relaterede klynger (sporet som PINEAPPLE og Water Makara) i juli og oktober 2024, der brugte phishing-lokkemidler til at distribuere den samme familie af malware.

Infektionskæden

Angrebet starter typisk med en DocuSign-tema phishing-besked, der indeholder et link. Dette link leverer en ZIP-fil, der indeholder en Windows-genvej (.lnk). Åbning af LNK'en starter en obfuskeret JavaScript-stub, der henter yderligere JavaScript fra eksternt hostede servere. Det hentede JavaScript downloader til gengæld flere filer fra en af flere hardcodede servere. Blandt disse filer er et AutoIt-script, der udføres af JavaScript-nyttelasten; AutoIt-scriptet indlæser og kører shellcode, som derefter indlæser en Delphi-baseret DLL. Denne DLL dekrypterer Astaroth-nyttelasten og injicerer den i en nyoprettet RegSvc.exe-proces - hvilket fuldfører implementeringen.

Hvad Astaroth gør på inficerede værter

Astaroth er implementeret i Delphi og er designet til at overvåge brugernes webaktivitet med fokus på besøg på bank- og kryptovalutarelaterede websteder. Den kontrollerer det aktive browservindue hvert sekund; når den registrerer et målrettet bank- eller kryptowebsted, registrerer den tastaturhændelser for at registrere tastetryk og indsamle legitimationsoplysninger. Trojaneren sender stjålne data tilbage til angriberne ved hjælp af en Ngrok reverse-proxy-tunnel, hvilket muliggør eksfiltrering, selv når direkte C2-forbindelse er begrænset.

Eksempler på observerede mål

Forskerne oplistede en række bank- og kryptorelaterede websteder, der blev observeret som overvåget af malwaren:

  • caixa.gov.br
  • safra.com.br
  • itau.com.br
  • bancooriginal.com.br
  • santandernet.com.br
  • btgpactual.com
  • etherscan.io
  • binance.com
  • bitcointrade.com.br
  • metamask.io
  • foxbit.com.br
  • localbitcoins.com

Anti-analysefunktioner

Astaroth inkluderer adskillige anti-analyseteknikker. Den undersøger miljøet for virtualisering, emulering, debugging og almindelige analyseværktøjer (eksempler inkluderer QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark og lignende værktøjer) og afslutter sig selv, hvis sådanne værktøjer opdages. Disse kontroller gør dynamisk analyse og sandboxing vanskeligere for forsvarere.

Persistens, geofencing og lokalitetskontroller

For at opretholde persistens placerer kampagnen en genvej i Windows-startmappen, der aktiverer AutoIt-scriptet ved genstart, hvilket sikrer, at malwaren genstartes automatisk. Infektionskæden inkluderer geofencing: den oprindelige URL, der hentes af LNK'en, målrettes efter region, og malwaren verificerer også systemets landestandard – den undgår at køre på maskiner, der er indstillet til engelsk/amerikansk landestandard. Disse sikkerhedsforanstaltninger indsnævrer offerprofilen og reducerer utilsigtet eksponering.

Operationel indvirkning

Ved at misbruge GitHub til at hoste skjulte konfigurationsopdateringer, skabte operatørerne en let og svært nedlukbar backupkanal til Astaroth. Forskere koordinerede med den Microsoft-ejede platform for at fjerne de ondsindede lagre, hvilket midlertidigt afbrød kampagnen. Brugen af legitime tjenester som fallback demonstrerer behovet for, at forsvarere overvåger misbrug af cloud- og kodehostingplatforme som en del af C2-jagten.

Oversigt

Denne kampagne fremhæver to tendenser, som forsvarere skal overveje: (1) trusselsaktører bruger i stigende grad respekterede tredjepartsplatforme som robust infrastruktur, og (2) moderne malware blander flere scripting- og kompilerede komponenter (JavaScript → AutoIt → shellcode → Delphi DLL) for at komplicere analyse og fjernelse af persistens. Kombinationen af GitHub-baseret konfigurationsfallback, målrettet geofencing, stærke anti-analysekontroller og overvågning af browseraktivitet gør Astaroth til en særlig robust og privatlivsinvaderende banktrojan. Årvågenhed over for phishing-lokkemidler, overvågning af usædvanlig GitHub-billedaktivitet og robust endpoint-detektion, der opdager flertrinskæden, er nøglen til at detektere og forstyrre infektioner.

Trending

Mest sete

Indlæser...