Trojan bancario Astaroth
I ricercatori di sicurezza informatica hanno identificato una nuova campagna che diffonde il trojan bancario Astaroth, che utilizza deliberatamente servizi legittimi come fallback per sopravvivere alle interruzioni. Anziché affidarsi esclusivamente ai tradizionali server di comando e controllo (C2) che i difensori possono localizzare e interrompere, gli operatori ospitano i dati di configurazione del malware su GitHub e li incorporano in immagini tramite steganografia, consentendo al malware di ripristinarsi e continuare a funzionare anche dopo che l'infrastruttura è stata sequestrata o disattivata.
Sommario
Come GitHub e la steganografia diventano un C2 di backup
Gli aggressori inseriscono blob di configurazione all'interno di immagini presenti nei repository pubblici di GitHub. Quando il trojan non riesce a raggiungere i suoi server C2 primari, estrae i dati di configurazione aggiornati da quei file immagine, trasformando di fatto una nota piattaforma di hosting di codice in un canale di distribuzione di backup resiliente. Poiché i dati sono nascosti all'interno delle immagini, si confondono con il normale traffico e i repository, rendendo più complicato il rilevamento e la rimozione. I team di sicurezza hanno collaborato con la piattaforma di proprietà di Microsoft per rimuovere i repository incriminati, il che ha temporaneamente interrotto la campagna, ma il design mostra un chiaro intento di resistere a future rimozioni.
Focus geografico e attività precedente
L'attuale campagna si concentra principalmente in Brasile, sebbene Astaroth storicamente prenda di mira un ampio spettro di paesi latinoamericani, tra cui Messico, Uruguay, Argentina, Paraguay, Cile, Bolivia, Perù, Ecuador, Colombia, Venezuela e Panama. Ciò è coerente con le precedenti attività di Astaroth: i ricercatori hanno segnalato cluster correlati (tracciati come PINEAPPLE e Water Makara) a luglio e ottobre 2024, che utilizzavano esche di phishing per distribuire la stessa famiglia di malware.
La catena dell’infezione
L'attacco inizia in genere con un messaggio di phishing a tema DocuSign contenente un link. Tale link invia un file ZIP contenente un collegamento a Windows (.lnk). L'apertura del LNK avvia uno stub JavaScript offuscato che recupera ulteriore codice JavaScript da server ospitati esternamente. Il codice JavaScript recuperato, a sua volta, scarica diversi file da uno dei diversi server hard-coded. Tra questi file c'è uno script AutoIt eseguito dal payload JavaScript; lo script AutoIt carica ed esegue lo shellcode, che a sua volta carica una DLL basata su Delphi. Tale DLL decrittografa il payload Astaroth e lo inietta in un processo RegSvc.exe appena creato, completando l'implementazione.
Cosa fa Astaroth sugli host infetti
Astaroth è implementato in Delphi ed è progettato per monitorare l'attività web degli utenti, concentrandosi sulle visite a siti web bancari e relativi alle criptovalute. Controlla la finestra attiva del browser ogni secondo; quando rileva un sito bancario o di criptovalute preso di mira, aggancia gli eventi della tastiera per catturare le sequenze di tasti e raccogliere le credenziali. Il trojan trasmette i dati rubati agli aggressori utilizzando un tunnel reverse proxy Ngrok, consentendo l'esfiltrazione anche quando la connettività C2 diretta è limitata.
Esempi di obiettivi osservati
I ricercatori hanno elencato una serie di siti bancari e relativi alle criptovalute che sono stati osservati essere monitorati dal malware:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
Capacità di anti-analisi
Astaroth include numerose tecniche di anti-analisi. Esamina l'ambiente alla ricerca di strumenti di virtualizzazione, emulazione, debug e analisi comuni (ad esempio, QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark e strumenti simili) e si arresta automaticamente se tali strumenti vengono rilevati. Questi controlli rendono l'analisi dinamica e il sandboxing più difficili per i difensori.
Persistenza, geofencing e controlli locali
Per garantire la persistenza, la campagna inserisce un collegamento nella cartella di avvio di Windows che richiama lo script AutoIt al riavvio, garantendo il riavvio automatico del malware. La catena di infezione include il geofencing: l'URL iniziale recuperato dall'LNK viene preso di mira in base alla regione e il malware verifica anche le impostazioni locali del sistema, evitando di essere eseguito su computer impostati su inglese/Stati Uniti. Queste misure di sicurezza restringono il profilo della vittima e riducono l'esposizione accidentale.
Impatto operativo
Abusando di GitHub per ospitare aggiornamenti di configurazione nascosti, gli operatori hanno creato un canale di backup leggero e difficile da rimuovere per Astaroth. I ricercatori si sono coordinati con la piattaforma di proprietà di Microsoft per rimuovere i repository dannosi, interrompendo temporaneamente la campagna. L'uso di servizi legittimi come fallback dimostra la necessità per i difensori di monitorare l'abuso delle piattaforme cloud e di hosting del codice nell'ambito della caccia al C2.
Riepilogo
Questa campagna evidenzia due tendenze che i difensori devono considerare: (1) gli autori delle minacce utilizzano sempre più spesso piattaforme di terze parti affidabili come infrastruttura resiliente e (2) i malware moderni combinano più script e componenti compilati (JavaScript → AutoIt → shellcode → DLL Delphi) per complicare l'analisi e la rimozione della persistenza. La combinazione di fallback di configurazione basato su GitHub, geofencing mirato, controlli anti-analisi rigorosi e monitoraggio dell'attività del browser rende Astaroth un trojan bancario particolarmente resiliente e invasivo della privacy. La vigilanza contro le esche di phishing, il monitoraggio di attività insolite nelle immagini GitHub e un rilevamento degli endpoint affidabile che individua la catena multifase sono fondamentali per rilevare e interrompere le infezioni.
