Trojan Perbankan Astaroth
Penyelidik keselamatan siber telah mengenal pasti kempen baharu yang menyampaikan trojan perbankan Astaroth yang dengan sengaja menggunakan perkhidmatan yang sah sebagai sandaran untuk bertahan daripada alih keluar. Daripada bergantung semata-mata pada pelayan Command-and-Control (C2) tradisional yang boleh dikesan dan diganggu oleh pembela, pengendali mengehoskan data konfigurasi perisian hasad pada GitHub dan membenamkannya dalam imej melalui steganografi — membenarkan perisian hasad pulih dan terus beroperasi walaupun selepas infrastruktur dirampas atau dilumpuhkan.
Isi kandungan
Bagaimana GitHub Dan Steganografi Menjadi Sandaran C2
Penyerang meletakkan gumpalan konfigurasi di dalam imej pada repositori GitHub awam. Apabila Trojan tidak dapat mencapai pelayan C2 utamanya, ia menarik data konfigurasi yang dikemas kini daripada fail imej tersebut — dengan berkesan menjadikan platform pengehosan kod yang terkenal menjadi saluran penghantaran sandaran yang berdaya tahan. Oleh kerana data disembunyikan di dalam imej, ia digabungkan dengan trafik dan repositori biasa dan menjadikan pengesanan dan alih keluar lebih rumit. Pasukan keselamatan bekerja dengan platform milik Microsoft untuk mengalih keluar repo yang menyinggung, yang mengganggu kempen buat sementara waktu, tetapi reka bentuk itu menunjukkan niat yang jelas untuk menentang alih keluar masa hadapan.
Fokus Geografi Dan Aktiviti Terdahulu
Kempen semasa tertumpu terutamanya di Brazil, walaupun Astaroth mengikut sejarah menyasarkan set luas negara Amerika Latin, termasuk Mexico, Uruguay, Argentina, Paraguay, Chile, Bolivia, Peru, Ecuador, Colombia, Venezuela dan Panama. Ini selaras dengan aktiviti Astaroth sebelum ini: penyelidik membenderakan kelompok berkaitan (dijejaki sebagai NENAS dan Makara Air) pada Julai dan Oktober 2024 yang menggunakan gewang pancingan data untuk mengedarkan keluarga perisian hasad yang sama.
Rantaian Jangkitan
Serangan biasanya bermula dengan mesej pancingan data bertemakan DocuSign yang mengandungi pautan. Pautan itu menghantar ZIP yang mengandungi pintasan Windows (.lnk). Membuka LNK melancarkan stub JavaScript yang dikelirukan yang mengambil JavaScript tambahan daripada pelayan yang dihoskan secara luaran. JavaScript yang diambil pula memuat turun berbilang fail daripada salah satu daripada beberapa pelayan berkod keras. Antara fail tersebut ialah skrip AutoIt yang dilaksanakan oleh muatan JavaScript; skrip AutoIt memuatkan dan menjalankan shellcode, yang kemudiannya memuatkan DLL berasaskan Delphi. DLL itu menyahsulit muatan Astaroth dan menyuntiknya ke dalam proses RegSvc.exe yang baru dibuat — melengkapkan penggunaan.
Perkara yang Astaroth Lakukan Pada Hos yang Dijangkiti
Astaroth dilaksanakan di Delphi dan direka bentuk untuk memantau aktiviti web pengguna, memfokuskan pada lawatan ke laman web berkaitan perbankan dan mata wang kripto. Ia menyemak tetingkap penyemak imbas aktif setiap saat; apabila ia mengesan tapak perbankan atau crypto yang disasarkan, ia mengaitkan acara papan kekunci untuk menangkap ketukan kekunci dan menuai kelayakan. Trojan menghantar kembali data yang dicuri kepada penyerang menggunakan terowong proksi terbalik Ngrok, membenarkan penyusutan walaupun apabila sambungan C2 langsung dihadkan.
Contoh Sasaran Yang Diperhatikan
Para penyelidik menyenaraikan satu set tapak perbankan dan berkaitan kripto yang diperhatikan dipantau oleh perisian hasad:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
Keupayaan Anti-analisis
Astaroth merangkumi banyak teknik anti-analisis. Ia menyiasat persekitaran untuk alat maya, emulasi, penyahpepijatan dan analisis biasa (contoh termasuk Ejen Tetamu QEMU, HookExplorer, IDA Pro, Penyahpepijat Kekebalan, Alat PE, WinDbg, Wireshark dan alatan yang serupa) dan akan menamatkan sendiri jika alatan tersebut dikesan. Pemeriksaan ini menjadikan analisis dinamik dan kotak pasir lebih sukar untuk pemain pertahanan.
Kegigihan, Geofencing dan Pemeriksaan Tempatan
Untuk mengekalkan kegigihan, kempen menjatuhkan pintasan ke dalam folder Permulaan Windows yang menggunakan skrip AutoIt semasa but semula, memastikan perisian hasad dilancarkan semula secara automatik. Rantaian jangkitan termasuk geofencing: URL awal yang diambil oleh LNK disasarkan mengikut wilayah dan perisian hasad juga mengesahkan tempat sistem — ia mengelak daripada berjalan pada mesin yang ditetapkan kepada tempatan Inggeris/Amerika Syarikat. Perlindungan ini menyempitkan profil mangsanya dan mengurangkan pendedahan tidak sengaja.
Kesan Operasi
Dengan menyalahgunakan GitHub untuk mengehoskan kemas kini konfigurasi tersembunyi, pengendali mencipta saluran sandaran yang ringan dan sukar untuk dibuang untuk Astaroth. Penyelidik berkoordinasi dengan platform milik Microsoft untuk mengalih keluar repositori berniat jahat, yang mengganggu kempen buat sementara waktu. Penggunaan perkhidmatan yang sah untuk sandaran menunjukkan keperluan bagi pembela untuk memantau penyalahgunaan platform awan dan pengehosan kod sebagai sebahagian daripada pemburuan C2.
Ringkasan
Kempen ini menyerlahkan dua trend yang harus dipertimbangkan oleh pembela: (1) pelaku ancaman semakin menggunakan platform pihak ketiga yang dihormati sebagai infrastruktur yang berdaya tahan dan (2) perisian hasad moden menggabungkan berbilang skrip dan komponen yang disusun (JavaScript → AutoIt → shellcode → Delphi DLL) untuk merumitkan analisis dan penyingkiran kegigihan. Gabungan sandaran konfigurasi berasaskan GitHub, geofencing yang disasarkan, semakan anti-analisis yang kuat dan pemantauan aktiviti penyemak imbas menjadikan Astaroth sebagai trojan perbankan yang berdaya tahan dan invasif privasi. Kewaspadaan terhadap gewang pancingan data, pemantauan aktiviti imej GitHub yang luar biasa dan pengesanan titik akhir yang mantap yang mengesan rantaian berbilang peringkat adalah kunci untuk mengesan dan mengganggu jangkitan.
