تروجان بانکی Astaroth

محققان امنیت سایبری یک کمپین جدید را شناسایی کرده‌اند که تروجان بانکی Astaroth را توزیع می‌کند و عمداً از سرویس‌های قانونی به عنوان جایگزین برای زنده ماندن در برابر حملات استفاده می‌کند. اپراتورها به جای تکیه صرف بر سرورهای سنتی فرماندهی و کنترل (C2) که مدافعان می‌توانند آنها را پیدا کرده و مختل کنند، داده‌های پیکربندی بدافزار را در GitHub میزبانی می‌کنند و آن را از طریق استگانوگرافی در تصاویر جاسازی می‌کنند - که به بدافزار اجازه می‌دهد حتی پس از توقیف یا غیرفعال شدن زیرساخت‌ها، بازیابی شود و به فعالیت خود ادامه دهد.

چگونه گیت‌هاب و استگانوگرافی به یک پشتیبان C2 تبدیل می‌شوند

مهاجمان حباب‌های پیکربندی را درون تصاویر موجود در مخازن عمومی GitHub قرار می‌دهند. هنگامی که تروجان نمی‌تواند به سرورهای اصلی C2 خود دسترسی پیدا کند، داده‌های پیکربندی به‌روز شده را از آن فایل‌های تصویری استخراج می‌کند - که عملاً یک پلتفرم میزبانی کد شناخته شده را به یک کانال تحویل پشتیبان مقاوم تبدیل می‌کند. از آنجا که داده‌ها درون تصاویر پنهان هستند، با ترافیک و مخازن عادی ترکیب می‌شوند و تشخیص و حذف را پیچیده‌تر می‌کنند. تیم‌های امنیتی با پلتفرم متعلق به مایکروسافت همکاری کردند تا مخازن متخلف را حذف کنند، که به طور موقت کمپین را مختل کرد، اما طراحی آن نشان می‌دهد که قصد واضحی برای مقاومت در برابر حذف‌های آینده دارد.

تمرکز جغرافیایی و فعالیت قبلی

اگرچه Astaroth از نظر تاریخی مجموعه گسترده‌ای از کشورهای آمریکای لاتین از جمله مکزیک، اروگوئه، آرژانتین، پاراگوئه، شیلی، بولیوی، پرو، اکوادور، کلمبیا، ونزوئلا و پاناما را هدف قرار داده است، اما کمپین فعلی عمدتاً در برزیل متمرکز است. این با فعالیت‌های قبلی Astaroth سازگار است: محققان در ژوئیه و اکتبر 2024 خوشه‌های مرتبط (با نام‌های PINEAPPLE و Water Makara) را که از فریب‌های فیشینگ برای توزیع همان خانواده بدافزار استفاده می‌کردند، شناسایی کردند.

زنجیره عفونت

این حمله معمولاً با یک پیام فیشینگ با تم DocuSign حاوی یک لینک آغاز می‌شود. آن لینک یک فایل زیپ حاوی یک میانبر ویندوز (.lnk) را ارائه می‌دهد. باز کردن LNK یک فایل جاوا اسکریپت مبهم را اجرا می‌کند که جاوا اسکریپت‌های اضافی را از سرورهای میزبانی شده خارجی دریافت می‌کند. جاوا اسکریپت دریافت شده به نوبه خود چندین فایل را از یکی از چندین سرور هارد کد شده دانلود می‌کند. در میان این فایل‌ها، یک اسکریپت AutoIt وجود دارد که توسط بار داده جاوا اسکریپت اجرا می‌شود. اسکریپت AutoIt shellcode را بارگیری و اجرا می‌کند که سپس یک DLL مبتنی بر Delphi را بارگیری می‌کند. آن DLL، بار داده Astaroth را رمزگشایی کرده و آن را به یک فرآیند RegSvc.exe که به تازگی ایجاد شده است تزریق می‌کند و استقرار را تکمیل می‌کند.

کاری که آستاروث روی میزبان‌های آلوده انجام می‌دهد

Astaroth در دلفی پیاده‌سازی شده و برای نظارت بر فعالیت وب کاربران، با تمرکز بر بازدید از وب‌سایت‌های بانکی و مرتبط با ارزهای دیجیتال، طراحی شده است. این بدافزار هر ثانیه پنجره فعال مرورگر را بررسی می‌کند؛ هنگامی که یک سایت بانکی یا ارز دیجیتال هدفمند را شناسایی می‌کند، رویدادهای صفحه کلید را برای ضبط کلیدهای فشرده شده و برداشت اعتبارنامه‌ها به کار می‌گیرد. این تروجان داده‌های سرقت شده را با استفاده از یک تونل پروکسی معکوس Ngrok به مهاجمان ارسال می‌کند و حتی زمانی که اتصال مستقیم C2 محدود شده است، امکان استخراج اطلاعات را فراهم می‌کند.

نمونه‌هایی از اهداف مشاهده‌شده

محققان مجموعه‌ای از سایت‌های بانکی و مرتبط با ارزهای دیجیتال را که توسط این بدافزار رصد می‌شوند، فهرست کردند:

• caixa.gov.br
• safra.com.br
• itau.com.br
• bancooriginal.com.br
• santandernet.com.br
• btgpactual.com
• etherscan.io
• binance.com
• bitcointrade.com.br
• متامسک
• foxbit.com.br
• localbitcoins.com

قابلیت‌های ضد تجزیه و تحلیل

Astaroth شامل تکنیک‌های ضد تحلیل متعددی است. این ابزار محیط را برای مجازی‌سازی، شبیه‌سازی، اشکال‌زدایی و ابزارهای تحلیل رایج (مانند QEMU Guest Agent، HookExplorer، IDA Pro، Immunity Debugger، PE Tools، WinDbg، Wireshark و ابزارهای مشابه) بررسی می‌کند و در صورت شناسایی چنین ابزارهایی، خود را از کار می‌اندازد. این بررسی‌ها، تحلیل پویا و sandboxing را برای مدافعان دشوارتر می‌کند.

بررسی‌های پایداری، تعیین محدوده جغرافیایی و محلی

برای حفظ پایداری، این کمپین یک میانبر در پوشه راه‌اندازی ویندوز قرار می‌دهد که اسکریپت AutoIt را در هنگام راه‌اندازی مجدد فراخوانی می‌کند و تضمین می‌کند که بدافزار به‌طور خودکار دوباره راه‌اندازی شود. زنجیره آلودگی شامل حصار جغرافیایی است: URL اولیه‌ای که توسط LNK دریافت می‌شود، بر اساس منطقه هدف قرار می‌گیرد و بدافزار همچنین زبان سیستم را تأیید می‌کند - از اجرا روی دستگاه‌هایی که زبان‌های انگلیسی/ایالات متحده تنظیم شده‌اند، اجتناب می‌کند. این اقدامات حفاظتی، مشخصات قربانی آن را محدود کرده و مواجهه تصادفی را کاهش می‌دهد.

تأثیر عملیاتی

با سوءاستفاده از گیت‌هاب برای میزبانی به‌روزرسانی‌های پیکربندی مخفیانه، اپراتورها یک کانال پشتیبان سبک و غیرقابل حذف برای آستاروث ایجاد کردند. محققان با پلتفرم متعلق به مایکروسافت برای حذف مخازن مخرب هماهنگ شدند که این امر به طور موقت کمپین را مختل کرد. استفاده از سرویس‌های قانونی برای بازیابی، نیاز مدافعان را به نظارت بر سوءاستفاده از پلتفرم‌های ابری و میزبانی کد به عنوان بخشی از شکار C2 نشان می‌دهد.

خلاصه

این کمپین دو روند را برجسته می‌کند که مدافعان باید در نظر بگیرند: (1) عاملان تهدید به طور فزاینده‌ای از پلتفرم‌های شخص ثالث معتبر به عنوان زیرساخت‌های مقاوم استفاده می‌کنند و (2) بدافزارهای مدرن، اجزای اسکریپت‌نویسی و کامپایل‌شده متعددی (JavaScript → AutoIt → shellcode → Delphi DLL) را با هم ترکیب می‌کنند تا تجزیه و تحلیل و حذف مداوم را پیچیده کنند. ترکیب پیکربندی مبتنی بر GitHub، geofencing هدفمند، بررسی‌های قوی ضد تجزیه و تحلیل و نظارت بر فعالیت مرورگر، Astaroth را به یک تروجان بانکی مقاوم و تهاجمی به حریم خصوصی تبدیل می‌کند. هوشیاری در برابر فریب‌های فیشینگ، نظارت بر فعالیت‌های غیرمعمول تصویر GitHub و تشخیص قوی نقطه پایانی که زنجیره چند مرحله‌ای را تشخیص می‌دهد، کلید تشخیص و مختل کردن آلودگی‌ها هستند.