Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Banki trójai Astaroth banki trójai

Astaroth banki trójai

Mezo -ra Banki trójai-ben
Fordítás ide:

Kiberbiztonsági kutatók azonosítottak egy új kampányt, amely az Astaroth banki trójai vírust terjeszti, és szándékosan legitim szolgáltatásokat használ tartalék megoldásként a túléléshez a lefoglalások során. Ahelyett, hogy kizárólag a hagyományos Command-and-Control (C2) szerverekre hagyatkoznának, amelyeket a védők megtalálhatnak és megzavarhatnak, az üzemeltetők a rosszindulatú programok konfigurációs adatait a GitHubon tárolják, és szteganográfia segítségével képekbe ágyazzák – lehetővé téve a rosszindulatú program számára, hogy helyreálljon és folytassa működését még az infrastruktúra lefoglalása vagy letiltása után is.

Hogyan válnak a GitHub és a Steganography C2 biztonsági mentéssé?

A támadók konfigurációs blokkokat helyeznek el a nyilvános GitHub-tárolókban található képekben. Amikor a trójai nem tudja elérni az elsődleges C2-kiszolgálóit, a frissített konfigurációs adatokat ezekből a képfájlokból olvassa be – gyakorlatilag egy jól ismert kódtárhely-platformot rugalmas biztonsági mentési csatornává alakítva. Mivel az adatok a képekben vannak elrejtve, beleolvadnak a normál forgalomba és a tárolókba, és megnehezítik az észlelést és az eltávolítást. A biztonsági csapatok a Microsoft tulajdonában lévő platformmal együttműködve eltávolították a sértő tárolókat, ami ideiglenesen megzavarta a kampányt, de a kialakítás egyértelműen azt mutatja, hogy szándékosan ellen kell állni a jövőbeni eltávolításoknak.

Földrajzi fókusz és korábbi tevékenység

A jelenlegi kampány elsősorban Brazíliára koncentrálódik, bár az Astaroth történelmileg számos latin-amerikai országot céloz meg, köztük Mexikót, Uruguayt, Argentínát, Paraguayt, Chilét, Bolíviát, Perut, Ecuadort, Kolumbiát, Venezuelát és Panamát. Ez összhangban van az Astaroth korábbi tevékenységével: a kutatók 2024 júliusában és októberében kapcsolódó klasztereket (PINEAPPLE és Water Makara néven nyomon követve) jelöltek meg, amelyek adathalász csalikat használtak ugyanazon rosszindulatú programcsalád terjesztésére.

A fertőzési lánc

A támadás jellemzően egy DocuSign témájú adathalász üzenettel kezdődik, amely egy linket tartalmaz. Ez a link egy ZIP fájlt eredményez, amely egy Windows parancsikont (.lnk) tartalmaz. Az LNK megnyitása egy obfuszkált JavaScript csonkot indít el, amely további JavaScript kódokat kér le külsőleg üzemeltetett szerverekről. A letöltött JavaScript kód viszont több fájlt tölt le több fixen kódolt szerver egyikéről. Ezen fájlok között található egy AutoIt szkript, amelyet a JavaScript hasznos terhelése hajt végre; az AutoIt szkript betölt és futtat egy shellkódot, amely ezután betölt egy Delphi-alapú DLL-t. Ez a DLL dekódolja az Astaroth hasznos terhelést, és beilleszti azt egy újonnan létrehozott RegSvc.exe folyamatba – ezzel befejezve a telepítést.

Mit tesz Astaroth a fertőzött gazdatesteken?

Az Astaroth Delphiben implementált, és a felhasználók webes tevékenységeinek figyelésére szolgál, különös tekintettel a banki és kriptovalutákkal kapcsolatos webhelyek látogatásaira. Másodpercenként ellenőrzi az aktív böngészőablakot; amikor egy célzott banki vagy kriptooldalt észlel, billentyűzetes eseményeket rögzít a billentyűleütések rögzítéséhez és a hitelesítő adatok begyűjtéséhez. A trójai egy Ngrok fordított proxy alagút segítségével továbbítja az ellopott adatokat a támadóknak, lehetővé téve a begyűjtést akkor is, ha a közvetlen C2-kapcsolat korlátozott.

Megfigyelt célpontok példái

A kutatók felsoroltak egy sor banki és kriptovalutákkal kapcsolatos oldalt, amelyeket a rosszindulatú program megfigyelt:

  • caixa.gov.br
  • safra.com.br
  • itau.com.br
  • bancooriginal.com.br
  • santandernet.com.br
  • btgpactual.com
  • etherscan.io
  • binance.com
  • bitcointrade.com.br
  • metamask.io
  • foxbit.com.br
  • localbitcoins.com

Elemzésgátló képességek

Az Astaroth számos anti-analízis technikát tartalmaz. Átvizsgálja a környezetet virtualizációs, emulációs, hibakeresési és elterjedt elemzőeszközök (például QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark és hasonló eszközök) után kutatva, és leállítja magát, ha ilyen eszközöket észlel. Ezek az ellenőrzések megnehezítik a dinamikus elemzést és a sandboxingot a védők számára.

Perzisztencia, geokerítés és területi ellenőrzések

A folyamatosság fenntartása érdekében a kampány egy parancsikont helyez el a Windows Startup mappájában, amely újraindításkor meghívja az AutoIt szkriptet, biztosítva a kártevő automatikus újraindítását. A fertőzési lánc geofencinget is tartalmaz: az LNK által lekért kezdeti URL-t régiónként célozza meg, és a kártevő a rendszer területi beállítását is ellenőrzi – elkerüli az angol/amerikai területi beállításokra beállított gépeken való futtatást. Ezek a védelmi intézkedések szűkítik az áldozati profilt és csökkentik a véletlen kitettséget.

Működési hatás

A GitHubon keresztüli titkos konfigurációs frissítések tárolásával az operátorok egy könnyűsúlyú, nehezen eltávolítható biztonsági mentési csatornát hoztak létre az Astaroth számára. A kutatók együttműködtek a Microsoft tulajdonában lévő platformmal a rosszindulatú adattárak eltávolításában, ami ideiglenesen megzavarta a kampányt. A legitim szolgáltatások tartalékként való használata azt mutatja, hogy a védőknek a C2-vadászat részeként figyelniük kell a felhő- és kódtárhely-platformok visszaéléseit.

Összefoglalás

Ez a kampány két olyan trendet emel ki, amelyeket a védőknek figyelembe kell venniük: (1) a fenyegetések szereplői egyre inkább elismert harmadik féltől származó platformokat használnak ellenálló infrastruktúraként, és (2) a modern rosszindulatú programok több szkriptelési és fordított komponenst (JavaScript → AutoIt → shellkód → Delphi DLL) ötvöznek, hogy bonyolítsák az elemzést és a behatolásmentes fájlok eltávolítását. A GitHub-alapú konfigurációs tartalék, a célzott geofencing, az erős anti-analízis ellenőrzések és a böngészőtevékenység-figyelés kombinációja az Astaroth-ot különösen ellenállóvá és a magánéletet megsértő banki trójaivá teszi. Az adathalász csalikkal szembeni éberség, a szokatlan GitHub képtevékenység figyelése és a többlépcsős láncot észlelő robusztus végpont-észlelés kulcsfontosságú a fertőzések észleléséhez és megakadályozásához.

Felkapott

A postafiókod verziója megszűnik – átverés

Adathalászat, Spam
Az online csalók folyamatosan új trükköket fejlesztenek ki a felhasználók megtévesztésére és az értékes adatok ellopására. Ilyen például a „Postafiókod verziója megszűnik” típusú átverés, egy adathalász kampány, amelynek célja a gyanútlan áldozatoktól származó bejelentkezési adatok megszerzése. A kiberbiztonsági szakértők arra figyelmeztetnek, hogy ezek a csalárd üzenetek nem kapcsolódnak...

Legnézettebb

Betöltés...