Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pangandus troojalane Astaroth pangandustroojalane

Astaroth pangandustroojalane

Aastaks Mezo aastal Pangandus troojalane
Tõlgi:

Küberturvalisuse uurijad on tuvastanud uue kampaania, mis levitab Astarothi pangandustroojat ja kasutab teadlikult legitiimseid teenuseid varuvariandina, et pahavara eemaldamise korral ellu jääda. Selle asemel, et loota üksnes traditsioonilistele juhtimis- ja kontrollserveritele (C2), mida kaitsjad saavad leida ja häirida, majutavad operaatorid pahavara konfiguratsiooniandmeid GitHubis ja manustavad need steganograafia abil piltidesse, võimaldades pahavaral taastuda ja jätkata tööd isegi pärast infrastruktuuri arestimist või blokeerimist.

Kuidas GitHubist ja steganograafiast saavad C2 varukoopiad

Ründajad paigutavad konfiguratsiooniblobid avalikes GitHubi repositooriumides olevate piltide sisse. Kui troojalane ei pääse oma peamiste C2-serveritega ühendust, ammutab ta nendest pildifailidest uuendatud konfiguratsiooniandmed – muutes tuntud koodimajutusplatvormi sisuliselt vastupidavaks varunduskanaliks. Kuna andmed on piltide sisse peidetud, sulanduvad need tavalisse liiklusse ja repositooriumidesse ning muudavad tuvastamise ja eemaldamise keerulisemaks. Turvameeskonnad tegid Microsoftile kuuluva platvormiga koostööd pahatahtlike repositooriumide eemaldamiseks, mis ajutiselt katkestas kampaania, kuid disain näitab selget kavatsust edaspidistele eemaldamistele vastu seista.

Geograafiline fookus ja varasem tegevus

Praegune kampaania keskendub peamiselt Brasiiliale, kuigi Astaroth on ajalooliselt sihikule võtnud laia valikut Ladina-Ameerika riike, sealhulgas Mehhiko, Uruguay, Argentina, Paraguay, Tšiili, Boliivia, Peruu, Ecuador, Colombia, Venezuela ja Panama. See on kooskõlas Astarothi varasema tegevusega: teadlased märkisid 2024. aasta juulis ja oktoobris seotud klastreid (jälgiti kui PINEAPPLE ja Water Makara), mis kasutasid sama pahavara perekonna levitamiseks andmepüügi peibutisi.

Nakkusahel

Rünnak algab tavaliselt DocuSigni-teemalise andmepüügisõnumiga, mis sisaldab linki. See link edastab ZIP-faili, mis sisaldab Windowsi otseteed (.lnk). LNK avamine käivitab hägustatud JavaScripti tüve, mis hangib täiendavat JavaScripti väliselt hostitud serveritest. Hangitud JavaScript laadib omakorda alla mitu faili ühelt mitmest kõvakodeeritud serverist. Nende failide hulgas on JavaScripti kasuliku koormuse poolt käivitatav AutoIt-skript; AutoIt-skript laadib ja käivitab kestakoodi, mis seejärel laadib Delphi-põhise DLL-i. See DLL dekrüpteerib Astarothi kasuliku koormuse ja süstib selle äsjaloodud RegSvc.exe protsessi – viies juurutamise lõpule.

Mida Astaroth teeb nakatunud peremeesorganismidega

Astaroth on rakendatud Delphis ja on loodud kasutajate veebitegevuse jälgimiseks, keskendudes pangandus- ja krüptovaluutaga seotud veebisaitide külastustele. See kontrollib aktiivset brauseriakent iga sekund; kui see tuvastab sihitud pangandus- või krüptosaidi, haarab see klaviatuurisündmused, et jäädvustada klahvivajutusi ja koguda volitusi. Troojalane edastab varastatud andmed ründajatele Ngroki pöördproksi tunneli abil, võimaldades andmete väljaviimist isegi siis, kui otsene C2-ühendus on piiratud.

Näited vaadeldud sihtmärkidest

Teadlased loetlesid hulga pangandus- ja krüptovaluutadega seotud saite, mida pahavara jälgis:

  • caixa.gov.br
  • safra.com.br
  • itau.com.br
  • bancooriginal.com.br
  • santandernet.com.br
  • btgpactual.com
  • etherscan.io
  • binance.com
  • bitcointrade.com.br
  • metamask.io
  • foxbit.com.br
  • kohalikudbitcoinid.com

Analüüsivastased võimalused

Astaroth sisaldab arvukalt analüüsivastaseid tehnikaid. See sondeerib keskkonda virtualiseerimise, emuleerimise, silumise ja levinud analüüsitööriistade (näidete hulka kuuluvad QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark ja sarnased tööriistad) suhtes ning lõpetab töö, kui sellised tööriistad tuvastatakse. Need kontrollid raskendavad kaitsjate jaoks dünaamilist analüüsi ja liivakasti testimist.

Püsivus, geopiirded ja lokaalikontrollid

Püsivuse säilitamiseks asetab kampaania Windowsi käivituskausta otsetee, mis käivitab taaskäivitamisel AutoIt-skripti, tagades pahavara automaatse taaskäivitumise. Nakatumise ahel hõlmab geofencingut: LNK poolt alla laaditud esialgne URL on suunatud piirkonna järgi ja pahavara kontrollib ka süsteemi lokaati – see väldib töötamist masinatel, mis on seadistatud inglise/Ameerika Ühendriikide lokaadile. Need kaitsemeetmed kitsendavad ohvri profiili ja vähendavad juhuslikku kokkupuudet.

Tegevuslik mõju

GitHubi kuritarvitamisega varjatud konfiguratsioonivärskenduste majutamiseks lõid operaatorid Astarothi jaoks kerge ja raskesti eemaldatava varukanali. Teadlased tegid Microsoftile kuuluva platvormiga koostööd pahatahtlike repositooriumide eemaldamiseks, mis ajutiselt kampaaniat häiris. Legitiimsete teenuste kasutamine varuteenusena näitab, et kaitsjad peavad C2-jahi osana jälgima pilve- ja koodimajutusplatvormide kuritarvitamist.

Kokkuvõte

See kampaania toob esile kaks trendi, mida kaitsjad peavad arvestama: (1) ohutegijad kasutavad üha enam usaldusväärseid kolmandate osapoolte platvorme vastupidava infrastruktuurina ja (2) tänapäevane pahavara ühendab mitmeid skriptimis- ja kompileeritud komponente (JavaScript → AutoIt → shellcode → Delphi DLL), et keerulisemaks muuta analüüsi ja püsivuse eemaldamist. GitHubi-põhise konfiguratsiooni varuvariandi, sihitud geopiirde, tugevate analüüsivastaste kontrollide ja brauseri aktiivsuse jälgimise kombinatsioon muudab Astarothi eriti vastupidavaks ja privaatsust rikkuvaks pangandustroojaniks. Valvsus andmepüügi peibutiste suhtes, ebatavalise GitHubi pilditegevuse jälgimine ja mitmeastmelise ahela märkamine on nakkuste avastamisel ja katkestamisel võtmetähtsusega.

Trendikas

Enim vaadatud

Laadimine...