Ponuda s popustom na više licenci
Baza prijetnji Bankarski trojanac Astaroth bankarski trojanac

Astaroth bankarski trojanac

Do Mezo. Bankarski trojanac. godine
Prevedi na:

Istraživači kibernetičke sigurnosti identificirali su novu kampanju koja isporučuje bankarskog trojanca Astaroth, a koja namjerno koristi legitimne usluge kao rezervu za preživljavanje napada. Umjesto da se oslanjaju isključivo na tradicionalne Command-and-Control (C2) poslužitelje koje branitelji mogu locirati i poremetiti, operateri hostiraju podatke o konfiguraciji zlonamjernog softvera na GitHubu i ugrađuju ih u slike putem steganografije - omogućujući zlonamjernom softveru da se oporavi i nastavi s radom čak i nakon što je infrastruktura zauzeta ili onemogućena.

Kako GitHub i steganografija postaju sigurnosna kopija C2

Napadači postavljaju konfiguracijske blobove unutar slika na javnim GitHub repozitorijima. Kada trojanac ne može doći do svojih primarnih C2 poslužitelja, povlači ažurirane konfiguracijske podatke iz tih datoteka slika - učinkovito pretvarajući dobro poznatu platformu za hosting koda u otporni kanal za isporuku sigurnosnih kopija. Budući da su podaci skriveni unutar slika, stapaju se s normalnim prometom i repozitorijima te otežavaju otkrivanje i uklanjanje. Sigurnosni timovi surađivali su s platformom u vlasništvu Microsofta kako bi uklonili problematične repozitorije, što je privremeno poremetilo kampanju, ali dizajn pokazuje jasnu namjeru da se odupre budućim uklanjanjima.

Geografski fokus i prethodna aktivnost

Trenutna kampanja koncentrirana je prvenstveno u Brazilu, iako Astaroth povijesno cilja širok raspon latinoameričkih zemalja, uključujući Meksiko, Urugvaj, Argentinu, Paragvaj, Čile, Boliviju, Peru, Ekvador, Kolumbiju, Venezuelu i Panamu. To je u skladu s ranijom aktivnošću Astarotha: istraživači su u srpnju i listopadu 2024. označili povezane klastere (praćene kao PINEAPPLE i Water Makara) koji su koristili phishing mamce za distribuciju iste obitelji zlonamjernog softvera.

Lanac infekcije

Napad obično započinje phishing porukom s temom DocuSigna koja sadrži poveznicu. Ta poveznica isporučuje ZIP datoteku koja sadrži Windows prečac (.lnk). Otvaranjem LNK-a pokreće se obfusirani JavaScript stub koji dohvaća dodatni JavaScript s vanjskih poslužitelja. Dohvaćeni JavaScript zauzvrat preuzima više datoteka s jednog od nekoliko čvrsto kodiranih poslužitelja. Među tim datotekama je AutoIt skripta koju izvršava JavaScript payload; AutoIt skripta učitava i pokreće shellcode, koji zatim učitava DLL temeljen na Delphiju. Taj DLL dešifrira Astaroth payload i ubrizgava ga u novostvoreni RegSvc.exe proces - dovršavajući implementaciju.

Što Astaroth radi na zaraženim domaćinima

Astaroth je implementiran u Delphiju i dizajniran je za praćenje web aktivnosti korisnika, fokusirajući se na posjete bankarskim i kripto web stranicama. Provjerava aktivni prozor preglednika svake sekunde; kada otkrije ciljanu bankarsku ili kripto stranicu, hvata događaje tipkovnice kako bi snimio pritiske tipki i prikupio vjerodajnice. Trojanac prenosi ukradene podatke natrag napadačima koristeći Ngrok reverse-proxy tunel, omogućujući krađu čak i kada je izravna C2 povezivost ograničena.

Primjeri promatranih ciljeva

Istraživači su naveli skup bankarskih i kripto stranica koje je zlonamjerni softver nadzirao:

  • caixa.gov.br
  • safra.com.br
  • itau.com.br
  • bancooriginal.com.br
  • santandernet.com.br
  • btgpactual.com
  • etherscan.io
  • binance.com
  • bitcointrade.com.br
  • metamask.io
  • foxbit.com.br
  • localbitcoins.com

Mogućnosti anti-analize

Astaroth uključuje brojne tehnike protiv analize. Ispituje okruženje za virtualizaciju, emulaciju, otklanjanje pogrešaka i uobičajene alate za analizu (primjeri uključuju QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark i slične alate) i prekinut će se ako se takvi alati otkriju. Ove provjere otežavaju dinamičku analizu i sandboxing za branitelje.

Provjera postojanosti, geoograde i lokacije

Kako bi se održala postojanost, kampanja postavlja prečac u mapu Windows Startup koja poziva skriptu AutoIt prilikom ponovnog pokretanja, osiguravajući automatsko ponovno pokretanje zlonamjernog softvera. Lanac zaraze uključuje geofencing: početni URL koji LNK dohvaća cilja se prema regiji, a zlonamjerni softver također provjerava lokalizaciju sustava - izbjegava pokretanje na računalima postavljenim na englesku/američku lokalizaciju. Ove zaštitne mjere sužavaju profil žrtve i smanjuju slučajnu izloženost.

Operativni utjecaj

Zloupotrebom GitHuba za hostiranje prikrivenih ažuriranja konfiguracije, operateri su stvorili lagani, teško uklonjivi rezervni kanal za Astaroth. Istraživači su koordinirali s platformom u vlasništvu Microsofta kako bi uklonili zlonamjerne repozitorije, što je privremeno poremetilo kampanju. Korištenje legitimnih usluga za rezervu pokazuje potrebu da branitelji prate zlouporabu platformi za hosting u oblaku i koda kao dio lova na C2.

Sažetak

Ova kampanja ističe dva trenda koja branitelji moraju uzeti u obzir: (1) akteri prijetnji sve više koriste ugledne platforme trećih strana kao otpornu infrastrukturu i (2) moderni zlonamjerni softver kombinira višestruke skripte i kompilirane komponente (JavaScript → AutoIt → shellcode → Delphi DLL) kako bi zakomplicirao analizu i uklanjanje perzistentnih zaraza. Kombinacija konfiguracije temeljene na GitHubu, ciljanog geofencinga, snažnih anti-analitičkih provjera i praćenja aktivnosti preglednika čini Astaroth posebno otpornim i privatnost invazivnim bankarskim trojancem. Budnost protiv phishing mamaca, praćenje neobične aktivnosti slika na GitHubu i robusno otkrivanje krajnjih točaka koje uočava višefazni lanac ključni su za otkrivanje i ometanje infekcija.

U trendu

Nagledanije

Učitavam...