„Astaroth“ bankininkystės Trojos arklys
Kibernetinio saugumo tyrėjai nustatė naują kampaniją, kuria platinamas bankininkystės Trojos arklys „Astaroth“, sąmoningai naudojantis teisėtas paslaugas kaip atsarginį sprendimą, kad išgyventų pašalinimus. Užuot pasikliavę vien tradiciniais „Command-and-Control“ (C2) serveriais, kuriuos gynėjai gali rasti ir sutrikdyti, operatoriai kenkėjiškų programų konfigūracijos duomenis talpina „GitHub“ ir įterpia juos į vaizdus naudodami steganografiją, taip leisdami kenkėjiškoms programoms atsigauti ir toliau veikti net ir po to, kai infrastruktūra užgrobiama ar išjungiama.
Turinys
Kaip „GitHub“ ir „Steganography“ tampa atsarginiu C2
Užpuolikai konfigūracijos failus patalpina viešose „GitHub“ saugyklose esančiuose atvaizduose. Kai Trojos arklys negali pasiekti pagrindinių C2 serverių, jis iš tų atvaizdų failų ištraukia atnaujintus konfigūracijos duomenis – taip gerai žinomą kodo talpinimo platformą paversdamas atspariu atsarginių kopijų teikimo kanalu. Kadangi duomenys paslėpti atvaizduose, jie susilieja su įprastu srautu ir saugyklomis, todėl aptikimas ir pašalinimas tampa sudėtingesnis. Saugumo komandos bendradarbiavo su „Microsoft“ priklausančia platforma, kad pašalintų pažeidžiančias saugyklas, o tai laikinai sutrikdė kampaniją, tačiau platforma aiškiai siekia užkirsti kelią būsimiems pašalinimams.
Geografinis dėmesys ir ankstesnė veikla
Dabartinė kampanija daugiausia sutelkta Brazilijoje, nors „Astaroth“ istoriškai taikosi į platų Lotynų Amerikos šalių ratą, įskaitant Meksiką, Urugvajų, Argentiną, Paragvajų, Čilę, Boliviją, Peru, Ekvadorą, Kolumbiją, Venesuelą ir Panamą. Tai atitinka ankstesnę „Astaroth“ veiklą: 2024 m. liepos ir spalio mėn. tyrėjai pažymėjo susijusius klasterius (stebimus kaip PINEAPPLE ir Water Makara), kurie naudojo sukčiavimo masalus tai pačiai kenkėjiškų programų šeimai platinti.
Infekcijos grandinė
Ataka paprastai prasideda „DocuSign“ tematikos sukčiavimo pranešimu su nuoroda. Ta nuoroda pateikia ZIP failą su „Windows“ sparčiuoju kodu (.lnk). Atidarius LNK, paleidžiamas užmaskuotas „JavaScript“ failas, kuris nuskaito papildomą „JavaScript“ kodą iš išorinių serverių. Nuskaitytas „JavaScript“ kodas savo ruožtu atsisiunčia kelis failus iš vieno iš kelių užkoduotų serverių. Tarp šių failų yra „AutoIt“ scenarijus, kurį vykdo „JavaScript“ paketas; „AutoIt“ scenarijus įkelia ir paleidžia apvalkalo kodą, kuris tada įkelia „Delphi“ pagrindu sukurtą DLL failą. Šis DLL failas iššifruoja „Astaroth“ paketą ir įterpia jį į naujai sukurtą „RegSvc.exe“ procesą, taip užbaigdamas diegimą.
Ką Astaroth daro užkrėstiems šeimininkams
„Astaroth“ įdiegta „Delphi“ kalba ir skirta stebėti vartotojų veiklą internete, daugiausia dėmesio skiriant apsilankymams bankininkystės ir kriptovaliutų svetainėse. Ji kas sekundę tikrina aktyvų naršyklės langą; aptikusi tikslinę bankininkystės ar kriptovaliutų svetainę, ji užfiksuoja klaviatūros veiksmus, kad užfiksuotų klavišų paspaudimus ir surinktų prisijungimo duomenis. Trojos arklys perduoda pavogtus duomenis užpuolikams naudodamas atvirkštinio tarpinio serverio „Ngrok“ tunelį, leisdamas pavogti duomenis net ir tada, kai tiesioginis C2 ryšys yra apribotas.
Stebimų taikinių pavyzdžiai
Tyrėjai išvardijo bankininkystės ir kriptovaliutų svetainių, kurias, kaip pastebėta, stebi kenkėjiška programa, sąrašą:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- vietiniaibitkoinai.com
Antianalizės galimybės
„Astaroth“ apima daugybę antianalizės metodų. Jis tiria aplinką, ieškodamas virtualizacijos, emuliacijos, derinimo ir įprastų analizės įrankių (pvz., „QEMU Guest Agent“, „HookExplorer“, „IDA Pro“, „Immunity Debugger“, „PE Tools“, „WinDbg“, „Wireshark“ ir panašių įrankių) ir, aptikus tokius įrankius, nutraukia savo veiklą. Šie patikrinimai apsunkina dinaminę analizę ir „smėlio dėžės“ testavimą.
Patvarumas, geofencingas ir lokalizacijos patikrinimai
Siekdama išlaikyti nuoseklumą, kampanija į „Windows“ paleisties aplanką įdeda nuorodą, kuri perkrovus sistemą iškviečia „AutoIt“ scenarijų, užtikrindama, kad kenkėjiška programa būtų automatiškai paleista iš naujo. Užkrėtimo grandinėje yra geofencingas: pradinis LNK nuskaitytas URL yra taikomas pagal regioną, o kenkėjiška programa taip pat tikrina sistemos lokalizaciją – ji vengia veikti kompiuteriuose, kuriuose nustatyta anglų / Jungtinių Valstijų lokalizacija. Šios apsaugos priemonės susiaurina aukos profilį ir sumažina atsitiktinį užkrėtimą.
Veiklos poveikis
Piktnaudžiaudami „GitHub“ slaptiems konfigūracijos atnaujinimams talpinti, operatoriai sukūrė lengvą, sunkiai pašalinamą atsarginį kanalą „Astaroth“. Tyrėjai bendradarbiavo su „Microsoft“ priklausančia platforma, kad pašalintų kenkėjiškas saugyklas, kurios laikinai sutrikdė kampaniją. Teisėtų paslaugų naudojimas atsarginėms programoms rodo, kad gynėjai turi stebėti debesijos ir kodo talpinimo platformų piktnaudžiavimą kaip C2 medžioklės dalį.
Santrauka
Ši kampanija pabrėžia dvi tendencijas, į kurias gynėjai turi atsižvelgti: (1) grėsmių veikėjai vis dažniau naudoja patikimas trečiųjų šalių platformas kaip atsparią infrastruktūrą ir (2) šiuolaikinės kenkėjiškos programos sujungia kelis scenarijus ir kompiliuotus komponentus („JavaScript“ → „AutoIt“ → apvalkalo kodas → „Delphi DLL“), kad apsunkintų analizę ir nuolatinių virusų šalinimą. „GitHub“ pagrindu sukurtos konfigūracijos atsarginės versijos, tikslinio geofencingo, stiprių antianalizės patikrinimų ir naršyklės veiklos stebėjimo derinys daro „Astaroth“ ypač atspariu ir privatumą pažeidžiančiu bankininkystės Trojos arkliu. Budrumas prieš sukčiavimo atakų masalus, neįprastos „GitHub“ vaizdų veiklos stebėjimas ir patikimas galinių taškų aptikimas, kuris pastebi daugiapakopę grandinę, yra pagrindiniai veiksniai, lemiantys infekcijų aptikimą ir sutrikdymą.
