הצעת הנחה מרובה רישיונות
מסד נתונים של איומים טרויאני בנקאי Astaroth Banking Trojan

Astaroth Banking Trojan

עד Mezo ב-טרויאני בנקאי
לתרגם ל:

חוקרי אבטחת סייבר זיהו קמפיין חדש המעביר את סוס הטרויאני הבנקאי Astaroth, המשתמש במכוון בשירותים לגיטימיים כגיבוי כדי לשרוד הסרות. במקום להסתמך אך ורק על שרתי פיקוד ובקרה (C2) מסורתיים שגופים יכולים לאתר ולשבש, המפעילים מארחים נתוני תצורה של תוכנות זדוניות ב-GitHub ומטמיעים אותם בתמונות באמצעות סטגנוגרפיה - מה שמאפשר לתוכנה הזדונית להתאושש ולהמשיך לפעול גם לאחר שהתשתית נתפסה או מושבתת.

כיצד GitHub ו-Steganography הופכים לגיבוי C2

התוקפים מציבים קבצי תצורה בתוך תמונות במאגרי GitHub ציבוריים. כאשר הטרויאני אינו יכול להגיע לשרתי ה-C2 העיקריים שלו, הוא שולף נתוני תצורה מעודכנים מאותם קבצי תמונה - ובכך הופך למעשה פלטפורמת אירוח קוד ידועה לערוץ גיבוי עמיד. מכיוון שהנתונים מוסתרים בתוך תמונות, הם משתלבים בתעבורה ובמאגרים הרגילים ומסבכים את הזיהוי וההסרה. צוותי אבטחה עבדו עם הפלטפורמה שבבעלות מיקרוסופט כדי להסיר את המאגרים הפוגעים, מה ששיבש זמנית את הקמפיין, אך העיצוב מראה כוונה ברורה להתנגד להסרות עתידיות.

מיקוד גיאוגרפי ופעילות קודמת

הקמפיין הנוכחי מרוכז בעיקר בברזיל, אם כי Astaroth מכוון באופן היסטורי למגוון רחב של מדינות באמריקה הלטינית, כולל מקסיקו, אורוגוואי, ארגנטינה, פרגוואי, צ'ילה, בוליביה, פרו, אקוודור, קולומביה, ונצואלה ופנמה. ממצא זה עולה בקנה אחד עם פעילות קודמת של Astaroth: חוקרים סימנו אשכולות קשורים (שנעקבו כ-PINEAPPLE ו-Water Makara) ביולי ובאוקטובר 2024 שהשתמשו בפיתויי פישינג כדי להפיץ את אותה משפחת תוכנות זדוניות.

שרשרת ההדבקה

ההתקפה מתחילה בדרך כלל בהודעת פישינג בנושא DocuSign המכילה קישור. קישור זה מספק קובץ ZIP המכיל קיצור דרך של Windows (.lnk). פתיחת ה-LNK משיקה קובץ JavaScript מעורפל אשר מאחזר JavaScript נוסף משרתים חיצוניים. קובץ ה-JavaScript המאוחזר מוריד בתורו קבצים מרובים מאחד מכמה שרתים מקודדים. בין הקבצים הללו נמצא סקריפט AutoIt המבוצע על ידי מטען ה-JavaScript; סקריפט AutoIt טוען ומפעיל קוד מעטפת, אשר לאחר מכן טוען קובץ DLL מבוסס Delphi. קובץ DLL זה מפענח את מטען Astaroth ומזריק אותו לתהליך RegSvc.exe שנוצר לאחרונה - ומשלים את הפריסה.

מה עושה אסטארוט על מארחים נגועים

Astaroth מיושם בדלפי ונועד לנטר את פעילות המשתמשים באינטרנט, תוך התמקדות בביקורים באתרי אינטרנט הקשורים לבנקאות ובמטבעות קריפטוגרפיים. הוא בודק את חלון הדפדפן הפעיל בכל שנייה; כאשר הוא מזהה אתר בנקאי או קריפטו ממוקד, הוא מקשר אירועי מקלדת כדי ללכוד הקשות מקלדת ולאסוף אישורים. הטרויאני מעביר נתונים גנובים בחזרה לתוקפים באמצעות מנהרת Ngrok reverse-proxy, המאפשרת חילוץ גם כאשר קישוריות C2 ישירה מוגבלת.

דוגמאות למטרות נצפות

החוקרים פירטו קבוצה של אתרים הקשורים לבנקאות ולקריפטו שנצפו תחת פיקוח של תוכנה זדונית:

  • caixa.gov.br
  • safra.com.br
  • itau.com.br
  • bancooriginal.com.br
  • santandernet.com.br
  • btgpactual.com
  • etherscan.io
  • binance.com
  • bitcointrade.com.br
  • metamask.io
  • foxbit.com.br
  • localbitcoins.com

יכולות אנטי-אנליזה

Astaroth כולל טכניקות רבות נגד ניתוח נתונים. הוא בודק את הסביבה לאיתור וירטואליזציה, אמולציה, ניפוי שגיאות וכלי ניתוח נפוצים (דוגמאות כוללות את QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark וכלים דומים) ויסיים את עצמו אם כלים כאלה מזוהים. בדיקות אלו מקשות על ניתוח דינמי ו-sandboxing עבור מגינים.

בדיקות התמדה, גיאו-פינסינג ובדיקות מקומיות

כדי לשמור על עמידות, הקמפיין משליך קיצור דרך לתיקיית ההפעלה של Windows שמפעיל את סקריפט AutoIt בעת אתחול מחדש, ומבטיח שהתוכנה הזדונית תופעל מחדש באופן אוטומטי. שרשרת ההדבקה כוללת גידור גיאוגרפי: כתובת ה-URL הראשונית שנאספת על ידי ה-LNK ממוקדת לפי אזור, והתוכנה הזדונית גם מאמתת את מיקום המערכת - היא נמנעת מהפעלה על מכונות המוגדרות למיקום אנגלית/ארצות הברית. אמצעי הגנה אלה מצמצמים את פרופיל הקורבן שלה ומפחיתים חשיפה מקרית.

השפעה תפעולית

על ידי ניצול לרעה של GitHub לאירוח עדכוני תצורה חשאיים, יצרו המפעילים ערוץ גיבוי קל משקל וקשה להסרה עבור Astaroth. החוקרים תיאמו עם הפלטפורמה שבבעלות מיקרוסופט כדי להסיר את המאגרים הזדוניים, מה ששיבש זמנית את הקמפיין. השימוש בשירותים לגיטימיים כגיבוי מדגים את הצורך של מגיני ההגנה לנטר ניצול לרעה של פלטפורמות ענן ואחסון קוד כחלק מציד C2.

תַקצִיר

קמפיין זה מדגיש שתי מגמות שעל מגני הגנה לשקול: (1) גורמי איום משתמשים יותר ויותר בפלטפורמות של צד שלישי מכובדות כתשתית עמידה ו-(2) תוכנות זדוניות מודרניות משלבות רכיבים מרובים של סקריפטים ורכיבים מהודרים (JavaScript → AutoIt → shellcode → Delphi DLL) כדי לסבך את הניתוח והסרה של תקינות. השילוב של גיבוי תצורה מבוסס GitHub, גיאו-גדר ממוקדת, בדיקות אנטי-אנליזה חזקות וניטור פעילות דפדפן הופך את Astaroth לטרויאני בנקאי עמיד במיוחד ופולש לפרטיות. ערנות כנגד פיתיונות פישינג, ניטור פעילות חריגה של תמונות GitHub וזיהוי חזק של נקודות קצה המזהה את השרשרת הרב-שלבית הם המפתח לגילוי ושיבוש הדבקות.

מגמות

הונאת "גרסה של תיבת הדואר שלך תופסק"

פישינג, ספאם
נוכלים מקוונים מפתחים ללא הרף טריקים חדשים כדי להונות משתמשים ולגנוב נתונים יקרי ערך. דוגמה לכך היא הונאת 'גרסת תיבת הדואר שלך תופסק', קמפיין פישינג שנועד לאסוף פרטי כניסה מקורבנות תמימים. מומחי אבטחת סייבר מזהירים כי הודעות הונאה אלו אינן קשורות לחברות, ארגונים או ספקי שירותים לגיטימיים. מיילים מטעים המתחזים להתראות שירות ההונאה מתחילה באימייל שנכתב בקפידה, המעמיד פנים שהוא מגיע מספק...

הכי נצפה

תוכנה זדונית

פישינג, ספאם
33,901
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...