Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Τραπεζικός Trojan Τραπεζικό Trojan Astaroth

Τραπεζικό Trojan Astaroth

Μέχρι το Mezo το Τραπεζικός Trojan
Μετάφραση σε:

Ερευνητές κυβερνοασφάλειας εντόπισαν μια νέα εκστρατεία που μεταφέρει το τραπεζικό trojan Astaroth, το οποίο χρησιμοποιεί σκόπιμα νόμιμες υπηρεσίες ως εφεδρικό μέσο για να επιβιώσει από καταστροφές. Αντί να βασίζονται αποκλειστικά σε παραδοσιακούς διακομιστές Command-and-Control (C2) που οι αμυντικοί μπορούν να εντοπίσουν και να διαταράξουν, οι χειριστές φιλοξενούν δεδομένα διαμόρφωσης κακόβουλου λογισμικού στο GitHub και τα ενσωματώνουν σε εικόνες μέσω στεγανογραφίας — επιτρέποντας στο κακόβουλο λογισμικό να ανακάμψει και να συνεχίσει να λειτουργεί ακόμη και μετά την κατάσχεση ή την απενεργοποίηση της υποδομής.

Πώς το GitHub και η Στεγανογραφία Γίνονται Εφεδρικά C2

Οι επιτιθέμενοι τοποθετούν blob διαμόρφωσης μέσα σε εικόνες σε δημόσια αποθετήρια GitHub. Όταν το Trojan δεν μπορεί να φτάσει στους κύριους διακομιστές C2, αντλεί ενημερωμένα δεδομένα διαμόρφωσης από αυτά τα αρχεία εικόνας — μετατρέποντας ουσιαστικά μια γνωστή πλατφόρμα φιλοξενίας κώδικα σε ένα ανθεκτικό κανάλι παράδοσης αντιγράφων ασφαλείας. Επειδή τα δεδομένα είναι κρυμμένα μέσα σε εικόνες, ενσωματώνονται στην κανονική κίνηση και τα αποθετήρια και καθιστούν την ανίχνευση και την αφαίρεση πιο περίπλοκη. Οι ομάδες ασφαλείας συνεργάστηκαν με την πλατφόρμα που ανήκει στη Microsoft για να αφαιρέσουν τα προβληματικά αποθετήρια, γεγονός που διέκοψε προσωρινά την καμπάνια, αλλά ο σχεδιασμός δείχνει σαφή πρόθεση να αντισταθεί σε μελλοντικές αφαιρέσεις.

Γεωγραφική Εστίαση και Προηγούμενη Δραστηριότητα

Η τρέχουσα εκστρατεία επικεντρώνεται κυρίως στη Βραζιλία, αν και ιστορικά η Astaroth στοχεύει ένα ευρύ φάσμα χωρών της Λατινικής Αμερικής, συμπεριλαμβανομένων του Μεξικού, της Ουρουγουάης, της Αργεντινής, της Παραγουάης, της Χιλής, της Βολιβίας, του Περού, του Ισημερινού, της Κολομβίας, της Βενεζουέλας και του Παναμά. Αυτό συνάδει με προηγούμενη δραστηριότητα της Astaroth: οι ερευνητές εντόπισαν σχετικά συμπλέγματα (που παρακολουθούνται ως PINEAPPLE και Water Makara) τον Ιούλιο και τον Οκτώβριο του 2024 που χρησιμοποίησαν δολώματα ηλεκτρονικού "ψαρέματος" (phishing) για τη διανομή της ίδιας οικογένειας κακόβουλου λογισμικού.

Η αλυσίδα μόλυνσης

Η επίθεση συνήθως ξεκινά με ένα μήνυμα ηλεκτρονικού "ψαρέματος" (phishing) με θέμα το DocuSign που περιέχει έναν σύνδεσμο. Αυτός ο σύνδεσμος παρέχει ένα ZIP που περιέχει μια συντόμευση των Windows (.lnk). Το άνοιγμα του LNK εκκινεί ένα ασαφές stub JavaScript που ανακτά επιπλέον JavaScript από εξωτερικά φιλοξενούμενους διακομιστές. Το ανακτημένο JavaScript με τη σειρά του κατεβάζει πολλά αρχεία από έναν από τους διάφορους διακομιστές με σκληρό κώδικα. Μεταξύ αυτών των αρχείων είναι ένα σενάριο AutoIt που εκτελείται από το ωφέλιμο φορτίο JavaScript. Το σενάριο AutoIt φορτώνει και εκτελεί shellcode, το οποίο στη συνέχεια φορτώνει ένα DLL που βασίζεται σε Delphi. Αυτό το DLL αποκρυπτογραφεί το ωφέλιμο φορτίο Astaroth και το εισάγει σε μια νεοδημιουργημένη διεργασία RegSvc.exe — ολοκληρώνοντας την ανάπτυξη.

Τι κάνει το Astaroth σε μολυσμένους ξενιστές

Το Astaroth υλοποιείται σε Delphi και έχει σχεδιαστεί για να παρακολουθεί την δραστηριότητα των χρηστών στο διαδίκτυο, εστιάζοντας στις επισκέψεις σε ιστότοπους τραπεζών και κρυπτονομισμάτων. Ελέγχει το ενεργό παράθυρο του προγράμματος περιήγησης κάθε δευτερόλεπτο. Όταν ανιχνεύει έναν στοχευμένο ιστότοπο τραπεζών ή κρυπτονομισμάτων, συνδέει συμβάντα πληκτρολογίου για να καταγράψει τα πλήκτρα και να συλλέξει διαπιστευτήρια. Το trojan μεταδίδει κλεμμένα δεδομένα πίσω στους εισβολείς χρησιμοποιώντας μια σήραγγα αντίστροφου διακομιστή μεσολάβησης Ngrok, επιτρέποντας την εκδιήθηση ακόμη και όταν η άμεση συνδεσιμότητα C2 είναι περιορισμένη.

Παραδείγματα παρατηρούμενων στόχων

Οι ερευνητές απαρίθμησαν ένα σύνολο τραπεζικών και κρυπτονομισματικών ιστότοπων που παρατηρήθηκαν ότι παρακολουθούνται από το κακόβουλο λογισμικό:

  • caixa.gov.br
  • safra.com.br
  • itau.com.br
  • bancooriginal.com.br
  • santandernet.com.br
  • btgpactual.com
  • etherscan.io
  • binance.com
  • bitcointrade.com.br
  • metamask.io
  • foxbit.com.br
  • localbitcoins.com

Δυνατότητες κατά της ανάλυσης

Το Astaroth περιλαμβάνει πολυάριθμες τεχνικές κατά της ανάλυσης. Ελέγχει το περιβάλλον για εικονικοποίηση, εξομοίωση, εντοπισμό σφαλμάτων και κοινά εργαλεία ανάλυσης (παραδείγματα περιλαμβάνουν τα QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark και παρόμοια εργαλεία) και θα τερματιστεί μόνο του εάν εντοπιστούν τέτοια εργαλεία. Αυτοί οι έλεγχοι καθιστούν τη δυναμική ανάλυση και το sandboxing πιο δύσκολα για τους υπερασπιστές.

Έλεγχοι Επιμονής, Γεωγραφικής Περιοχής και Τοπικής Οριοθέτησης

Για να διατηρήσει την επιμονή, η καμπάνια δημιουργεί μια συντόμευση στον φάκελο εκκίνησης των Windows που καλεί το σενάριο AutoIt κατά την επανεκκίνηση, διασφαλίζοντας ότι το κακόβουλο λογισμικό επανεκκινείται αυτόματα. Η αλυσίδα μόλυνσης περιλαμβάνει geofencing: η αρχική διεύθυνση URL που ανακτάται από το LNK στοχεύεται ανά περιοχή και το κακόβουλο λογισμικό επαληθεύει επίσης τις τοπικές ρυθμίσεις συστήματος — αποφεύγει την εκτέλεση σε υπολογιστές που έχουν ρυθμιστεί σε αγγλικές/ηπειρωτικές γλώσσες. Αυτές οι δικλείδες ασφαλείας περιορίζουν το προφίλ του θύματος και μειώνουν την τυχαία έκθεση.

Επιχειρησιακός αντίκτυπος

Καταχρώμενοι το GitHub για τη φιλοξενία κρυφών ενημερώσεων διαμόρφωσης, οι χειριστές δημιούργησαν ένα ελαφρύ, δύσκολο στην αφαίρεση κανάλι δημιουργίας αντιγράφων ασφαλείας για την Astaroth. Οι ερευνητές συντονίστηκαν με την πλατφόρμα που ανήκει στη Microsoft για να αφαιρέσουν τα κακόβουλα αποθετήρια, τα οποία διέκοψαν προσωρινά την εκστρατεία. Η χρήση νόμιμων υπηρεσιών για εφεδρικά αποτελέσματα καταδεικνύει την ανάγκη οι υπερασπιστές να παρακολουθούν την κατάχρηση πλατφορμών cloud και φιλοξενίας κώδικα στο πλαίσιο του κυνηγιού C2.

Περίληψη

Αυτή η καμπάνια υπογραμμίζει δύο τάσεις που πρέπει να λάβουν υπόψη οι υπερασπιστές: (1) οι απειλητικοί παράγοντες χρησιμοποιούν όλο και περισσότερο αξιόπιστες πλατφόρμες τρίτων ως ανθεκτική υποδομή και (2) το σύγχρονο κακόβουλο λογισμικό συνδυάζει πολλαπλά στοιχεία scripting και compiled (JavaScript → AutoIt → shellcode → Delphi DLL) για να περιπλέξει την ανάλυση και την αφαίρεση persistence. Ο συνδυασμός της εφεδρικής ρύθμισης παραμέτρων που βασίζεται στο GitHub, του στοχευμένου geofencing, των ισχυρών ελέγχων anti-analysis και της παρακολούθησης της δραστηριότητας του προγράμματος περιήγησης καθιστά το Astaroth ένα ιδιαίτερα ανθεκτικό και παραβιάζον την ιδιωτικότητα τραπεζικό trojan. Η επαγρύπνηση κατά των phishing, η παρακολούθηση για ασυνήθιστη δραστηριότητα εικόνας GitHub και η ισχυρή ανίχνευση τελικών σημείων που εντοπίζει την αλυσίδα πολλαπλών σταδίων είναι το κλειδί για την ανίχνευση και την αποτροπή μολύνσεων.

Τάσεις

Η έκδοση του γραμματοκιβωτίου σας θα διακοπεί - απάτη

Phishing, Ανεπιθύμητη αλληλογραφία
Οι διαδικτυακοί απατεώνες αναπτύσσουν συνεχώς νέα κόλπα για να εξαπατήσουν τους χρήστες και να κλέψουν πολύτιμα δεδομένα. Ένα τέτοιο παράδειγμα είναι η απάτη «Η έκδοση του γραμματοκιβωτίου σας θα διακοπεί», μια εκστρατεία ηλεκτρονικού "ψαρέματος" (phishing) που έχει σχεδιαστεί για να συλλέγει διαπιστευτήρια σύνδεσης από ανυποψίαστα θύματα. Οι ειδικοί στον κυβερνοχώρο προειδοποιούν ότι αυτά τα...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
33,901
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...