Astaroth Banking Trojan

साइबर सुरक्षा शोधकर्ताओं ने एस्ट्रोथ बैंकिंग ट्रोजन को फैलाने वाले एक नए अभियान की पहचान की है जो जानबूझकर वैध सेवाओं का इस्तेमाल टेकडाउन से बचने के लिए एक विकल्प के रूप में करता है। पारंपरिक कमांड-एंड-कंट्रोल (C2) सर्वरों पर पूरी तरह निर्भर रहने के बजाय, जिन्हें डिफेंडर ढूंढकर बाधित कर सकते हैं, ऑपरेटर मैलवेयर कॉन्फ़िगरेशन डेटा को GitHub पर होस्ट कर रहे हैं और स्टेग्नोग्राफ़ी के ज़रिए उसे इमेज में एम्बेड कर रहे हैं - जिससे मैलवेयर इंफ्रास्ट्रक्चर के जब्त या निष्क्रिय होने के बाद भी रिकवर हो सकता है और काम करना जारी रख सकता है।

GitHub और स्टेग्नोग्राफ़ी कैसे एक बैकअप C2 बन गए

हमलावर सार्वजनिक GitHub रिपॉजिटरी पर छवियों के अंदर कॉन्फ़िगरेशन ब्लॉब डालते हैं। जब ट्रोजन अपने प्राथमिक C2 सर्वर तक नहीं पहुँच पाता, तो वह उन छवि फ़ाइलों से अपडेट किया गया कॉन्फ़िगरेशन डेटा खींच लेता है—प्रभावी रूप से एक जाने-माने कोड-होस्टिंग प्लेटफ़ॉर्म को एक मज़बूत बैकअप डिलीवरी चैनल में बदल देता है। चूँकि डेटा छवियों के अंदर छिपा होता है, यह सामान्य ट्रैफ़िक और रिपॉजिटरी में घुल-मिल जाता है और पहचान और निष्कासन को और जटिल बना देता है। सुरक्षा टीमों ने Microsoft के स्वामित्व वाले प्लेटफ़ॉर्म के साथ मिलकर आपत्तिजनक रिपॉजिटरी को हटाया, जिससे अभियान में कुछ समय के लिए रुकावट आई, लेकिन डिज़ाइन भविष्य में निष्कासन का विरोध करने के स्पष्ट इरादे को दर्शाता है।

भौगोलिक फोकस और पूर्व गतिविधि

वर्तमान अभियान मुख्यतः ब्राज़ील में केंद्रित है, हालाँकि एस्ट्रोथ ऐतिहासिक रूप से मेक्सिको, उरुग्वे, अर्जेंटीना, पैराग्वे, चिली, बोलीविया, पेरू, इक्वाडोर, कोलंबिया, वेनेज़ुएला और पनामा सहित लैटिन अमेरिकी देशों के एक व्यापक समूह को लक्षित करता रहा है। यह एस्ट्रोथ की पिछली गतिविधियों के अनुरूप है: शोधकर्ताओं ने जुलाई और अक्टूबर 2024 में संबंधित समूहों (जिनका नाम PINEAPPLE और Water Makara था) को चिह्नित किया था, जो मैलवेयर के एक ही परिवार को वितरित करने के लिए फ़िशिंग प्रलोभनों का उपयोग करते थे।

संक्रमण श्रृंखला

यह हमला आमतौर पर एक DocuSign-थीम वाले फ़िशिंग संदेश से शुरू होता है जिसमें एक लिंक होता है। यह लिंक एक ज़िप कोड भेजता है जिसमें एक विंडोज़ शॉर्टकट (.lnk) होता है। LNK को खोलने पर एक अस्पष्ट JavaScript स्टब लॉन्च होता है जो बाहरी रूप से होस्ट किए गए सर्वरों से अतिरिक्त JavaScript प्राप्त करता है। प्राप्त किया गया JavaScript बदले में कई हार्ड-कोडेड सर्वरों में से एक से कई फ़ाइलें डाउनलोड करता है। इन फ़ाइलों में एक AutoIt स्क्रिप्ट होती है जो JavaScript पेलोड द्वारा निष्पादित होती है; AutoIt स्क्रिप्ट शेलकोड को लोड और रन करती है, जो फिर एक Delphi-आधारित DLL लोड करता है। यह DLL Astaroth पेलोड को डिक्रिप्ट करता है और उसे एक नई बनाई गई RegSvc.exe प्रक्रिया में इंजेक्ट करता है - जिससे परिनियोजन पूरा होता है।

एस्टारोथ संक्रमित मेज़बानों पर क्या करता है?

एस्ट्रोथ डेल्फी में कार्यान्वित किया गया है और इसे उपयोगकर्ताओं की वेब गतिविधि पर नज़र रखने के लिए डिज़ाइन किया गया है, खासकर बैंकिंग और क्रिप्टोकरेंसी से जुड़ी वेबसाइटों पर जाने पर। यह हर सेकंड सक्रिय ब्राउज़र विंडो की जाँच करता है; जब यह किसी लक्षित बैंकिंग या क्रिप्टो साइट का पता लगाता है, तो यह कीबोर्ड इवेंट्स को हुक करके कीस्ट्रोक्स कैप्चर करता है और क्रेडेंशियल्स चुरा लेता है। यह ट्रोजन चुराए गए डेटा को एनग्रोक रिवर्स-प्रॉक्सी टनल का उपयोग करके हमलावरों तक वापस भेजता है, जिससे सीधी C2 कनेक्टिविटी प्रतिबंधित होने पर भी एक्सफ़िल्टरेशन संभव हो जाता है।

देखे गए लक्ष्यों के उदाहरण

शोधकर्ताओं ने बैंकिंग और क्रिप्टो-संबंधित साइटों की एक सूची बनाई, जिन पर मैलवेयर द्वारा नजर रखी जा रही थी:

• caixa.gov.br
• safra.com.br
• itau.com.br
• bancooriginal.com.br
• santandernet.com.br
• btgpactual.com
• etherscan.io
• binance.com
• bitcointrade.com.br
• मेटामास्क.io
• foxbit.com.br
• localbitcoins.com

एंटी-विश्लेषण क्षमताएं

एस्ट्रोथ में कई एंटी-एनालिसिस तकनीकें शामिल हैं। यह वर्चुअलाइजेशन, इम्यूलेशन, डिबगिंग और सामान्य विश्लेषण उपकरणों (उदाहरणों में QEMU गेस्ट एजेंट, हुकएक्सप्लोरर, IDA प्रो, इम्युनिटी डिबगर, PE टूल्स, WinDbg, वायरशार्क और इसी तरह के उपकरण) के लिए वातावरण की जाँच करता है और ऐसे उपकरणों का पता चलने पर खुद को समाप्त कर लेता है। ये जाँचें डिफेंडर्स के लिए डायनेमिक विश्लेषण और सैंडबॉक्सिंग को और कठिन बना देती हैं।

दृढ़ता, जियोफेंसिंग, और स्थानीय जाँच

निरंतरता बनाए रखने के लिए, अभियान विंडोज स्टार्टअप फ़ोल्डर में एक शॉर्टकट छोड़ता है जो रीबूट होने पर AutoIt स्क्रिप्ट को सक्रिय करता है, जिससे मैलवेयर स्वचालित रूप से पुनः लॉन्च हो जाता है। संक्रमण श्रृंखला में जियोफ़ेंसिंग शामिल है: LNK द्वारा प्राप्त प्रारंभिक URL क्षेत्र द्वारा लक्षित होता है, और मैलवेयर सिस्टम लोकेल की भी पुष्टि करता है - यह अंग्रेज़ी/संयुक्त राज्य अमेरिका लोकेल पर सेट मशीनों पर चलने से बचता है। ये सुरक्षा उपाय इसके शिकार प्रोफ़ाइल को सीमित करते हैं और आकस्मिक जोखिम को कम करते हैं।

परिचालन प्रभाव

गुप्त कॉन्फ़िगरेशन अपडेट होस्ट करने के लिए GitHub का दुरुपयोग करके, ऑपरेटरों ने Astaroth के लिए एक हल्का, आसानी से हटाया न जा सकने वाला बैकअप चैनल बनाया। शोधकर्ताओं ने Microsoft के स्वामित्व वाले प्लेटफ़ॉर्म के साथ मिलकर दुर्भावनापूर्ण रिपॉजिटरी को हटाया, जिससे अभियान अस्थायी रूप से बाधित हुआ। फ़ॉलबैक के लिए वैध सेवाओं का उपयोग, C2 हंटिंग के हिस्से के रूप में क्लाउड और कोड-होस्टिंग प्लेटफ़ॉर्म के दुरुपयोग की निगरानी करने के लिए रक्षकों की आवश्यकता को दर्शाता है।

सारांश

यह अभियान दो प्रवृत्तियों पर प्रकाश डालता है जिन पर रक्षकों को विचार करना चाहिए: (1) ख़तरा पैदा करने वाले लोग, मज़बूत बुनियादी ढाँचे के रूप में प्रतिष्ठित तृतीय-पक्ष प्लेटफ़ॉर्म का तेज़ी से उपयोग कर रहे हैं और (2) आधुनिक मैलवेयर विश्लेषण और दृढ़ता निष्कासन को जटिल बनाने के लिए कई स्क्रिप्टिंग और संकलित घटकों (JavaScript → AutoIt → shellcode → Delphi DLL) को मिला देते हैं। GitHub-आधारित कॉन्फ़िगरेशन फ़ॉलबैक, लक्षित जियोफ़ेंसिंग, मज़बूत एंटी-एनालिसिस जाँच और ब्राउज़र गतिविधि निगरानी का संयोजन, Astaroth को एक विशेष रूप से लचीला और गोपनीयता-आक्रामक बैंकिंग ट्रोजन बनाता है। फ़िशिंग के प्रलोभनों के प्रति सतर्कता, असामान्य GitHub इमेज गतिविधि की निगरानी, और बहु-चरणीय श्रृंखला का पता लगाने वाला मज़बूत एंडपॉइंट डिटेक्शन, संक्रमणों का पता लगाने और उन्हें बाधित करने के लिए महत्वपूर्ण हैं।