Astaroth-pankkitroijalainen
Kyberturvallisuustutkijat ovat tunnistaneet uuden Astaroth-pankkitroijalaista levittävän kampanjan, joka käyttää tarkoituksella laillisia palveluita varmistuakseen alasajoista. Sen sijaan, että operaattorit luottaisivat pelkästään perinteisiin komento- ja hallintapalvelimiin (C2), jotka puolustajat voivat paikantaa ja häiritä, he isännöivät haittaohjelman kokoonpanotietoja GitHubissa ja upottavat ne kuviin steganografian avulla. Näin haittaohjelma voi toipua ja jatkaa toimintaansa, vaikka infrastruktuuri takavarikoitaisiin tai poistettaisiin käytöstä.
Sisällysluettelo
Kuinka GitHubista ja steganografiasta tulee C2:n varmuuskopio
Hyökkääjät sijoittavat määritysblobeja julkisissa GitHub-arkistoissa olevien kuvien sisään. Kun troijalainen ei pääse ensisijaisiin C2-palvelimiinsa, se hakee päivitetyt määritystiedot näistä kuvatiedostoista – muuttaen tunnetun koodialustan tehokkaasti vikasietoiseksi varmuuskopiokanavaksi. Koska tiedot ovat piilossa kuvien sisällä, ne sulautuvat normaaliin liikenteeseen ja arkistoihin, mikä tekee havaitsemisesta ja poistamisesta monimutkaisempaa. Tietoturvatiimit työskentelivät Microsoftin omistaman alustan kanssa poistaakseen haitalliset arkistot, mikä tilapäisesti häiritsi kampanjaa, mutta suunnittelu osoittaa selkeää aikomusta estää tulevat poistot.
Maantieteellinen painopiste ja aiempi toiminta
Nykyinen kampanja keskittyy pääasiassa Brasiliaan, vaikka Astaroth on aiemmin kohdistanut hyökkäyksensä laajaan joukkoon Latinalaisen Amerikan maita, kuten Meksikoon, Uruguayhin, Argentiinaan, Paraguayhin, Chileen, Boliviaan, Peruun, Ecuadoriin, Kolumbiaan, Venezuelaan ja Panamaan. Tämä on yhdenmukaista Astarothin aiemman toiminnan kanssa: tutkijat merkitsivät heinä- ja lokakuussa 2024 toisiinsa liittyviä klustereita (seurattu nimillä PINEAPPLE ja Water Makara), jotka käyttivät tietojenkalasteluhyökkäyksiä saman haittaohjelmaperheen levittämiseen.
Tartuntaketju
Hyökkäys alkaa tyypillisesti DocuSign-teemaisella tietojenkalasteluviestillä, joka sisältää linkin. Linkki toimittaa ZIP-tiedoston, joka sisältää Windows-pikakuvakkeen (.lnk). LNK:n avaaminen käynnistää hämärretyn JavaScript-tynkän, joka noutaa lisää JavaScriptiä ulkoisilta palvelimilta. Noudettu JavaScript puolestaan lataa useita tiedostoja useista kiinteästi koodatuista palvelimista. Näiden tiedostojen joukossa on JavaScript-hyötykuorman suorittama AutoIt-skripti; AutoIt-skripti lataa ja suorittaa komentosarjan, joka sitten lataa Delphi-pohjaisen DLL-tiedoston. Tämä DLL purkaa Astaroth-hyötykuorman salauksen ja lisää sen vasta luotuun RegSvc.exe-prosessiin – viimeistellen käyttöönoton.
Mitä Astaroth tekee tartunnan saaneille isännille
Astaroth on toteutettu Delphillä ja suunniteltu valvomaan käyttäjien verkkotoimintaa keskittyen pankki- ja kryptovaluuttasivustojen vierailuihin. Se tarkistaa aktiivisen selainikkunan joka sekunti; kun se havaitsee kohteena olevan pankki- tai kryptosivuston, se tallentaa näppäimistötapahtumat ja kerää tunnistetiedot. Troijalainen lähettää varastetut tiedot takaisin hyökkääjille Ngrok-käänteisen välityspalvelimen tunnelin avulla, mikä mahdollistaa tietovuodon, vaikka suora C2-yhteys olisi rajoitettu.
Esimerkkejä havaituista kohteista
Tutkijat listasivat joukon pankki- ja kryptovaluuttoihin liittyviä sivustoja, joita haittaohjelma havaitsi valvovan:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- paikallisetbitcoins.com
Analyysin vastaiset ominaisuudet
Astaroth sisältää lukuisia anti-analyysitekniikoita. Se luotaa ympäristöä virtualisointi-, emulointi-, virheenkorjaus- ja yleisten analyysityökalujen (esimerkkejä ovat QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark ja vastaavat työkalut) varalta ja lopettaa toimintansa, jos tällaisia työkaluja havaitaan. Nämä tarkistukset vaikeuttavat dynaamista analyysia ja hiekkalaatikkotestausta puolustajille.
Pysyvyys, geoaitaus ja paikallistarkistukset
Pysyvyyden ylläpitämiseksi kampanja pudottaa Windowsin käynnistyskansioon pikakuvakkeen, joka käynnistää AutoIt-skriptin uudelleenkäynnistyksen yhteydessä varmistaen, että haittaohjelma käynnistyy uudelleen automaattisesti. Tartuntaketju sisältää geofencingin: LNK:n noutamaan alkuperäiseen URL-osoitteeseen kohdistuu alue, ja haittaohjelma tarkistaa myös järjestelmän kieliasetuksen – se välttää toimimasta koneilla, joiden kieliasetukseksi on määritetty englanti/Yhdysvallat. Nämä suojatoimet rajaavat uhriprofiilia ja vähentävät tahatonta altistumista.
Toiminnallinen vaikutus
Käyttämällä GitHubia huomaamattomien määrityspäivitysten isännöintiin operaattorit loivat Astarothille kevyen ja vaikeasti poistettavan varakanavan. Tutkijat koordinoivat Microsoftin omistaman alustan kanssa haitallisten tietovarastojen poistamista, mikä tilapäisesti häiritsi kampanjaa. Laillisten palveluiden käyttö varapalveluina osoittaa, että puolustajien on tarpeen seurata pilvi- ja koodinhosting-alustojen väärinkäyttöä osana C2-jahtia.
Yhteenveto
Tämä kampanja korostaa kahta trendiä, jotka puolustajien on otettava huomioon: (1) uhkatoimijat käyttävät yhä enemmän arvostettuja kolmannen osapuolen alustoja vikasietoisena infrastruktuurina ja (2) modernit haittaohjelmat yhdistävät useita skriptaus- ja käännettyjä komponentteja (JavaScript → AutoIt → shellcode → Delphi DLL) monimutkaistaakseen analyysia ja pysyvien ongelmien poistamista. GitHub-pohjaisen konfiguraatiovarajärjestelmän, kohdennetun geoaidan, vahvojen analyysinvastaisten tarkistusten ja selaintoiminnan seurannan yhdistelmä tekee Astarothista erityisen vikasietoisen ja yksityisyyttä loukkaavan pankkitroijalaisen. Valppaus tietojenkalasteluhyökkäyksiä vastaan, epätavallisen GitHub-kuvatoiminnan seuranta ja vankka päätepisteiden tunnistus, joka havaitsee monivaiheisen ketjun, ovat avainasemassa tartuntojen havaitsemisessa ja estämisessä.
