Rabatttilbud for flere lisenser
Trusseldatabase Bank Trojan Astaroth Banking Trojan

Astaroth Banking Trojan

Med Mezo i Bank Trojan
Oversett til:

Forskere på nettsikkerhet har identifisert en ny kampanje som leverer banktrojaneren Astaroth, som bevisst bruker legitime tjenester som reserve for å overleve nedstengninger. I stedet for å utelukkende stole på tradisjonelle kommando-og-kontroll (C2)-servere som forsvarere kan finne og forstyrre, lagrer operatørene konfigurasjonsdata for skadelig programvare på GitHub og legger dem inn i bilder via steganografi – slik at skadelig programvare kan gjenopprettes og fortsette å operere selv etter at infrastrukturen er beslaglagt eller deaktivert.

Hvordan GitHub og steganografi blir en sikkerhetskopi av C2

Angriperne plasserer konfigurasjonsblobber i bilder på offentlige GitHub-repositorier. Når trojaneren ikke kan nå sine primære C2-servere, henter den oppdaterte konfigurasjonsdata fra disse bildefilene – og gjør dermed effektivt en kjent kodeplattform om til en robust leveringskanal for sikkerhetskopier. Fordi dataene er skjult i bilder, blander de seg inn i normal trafikk og repositorier, noe som gjør deteksjon og fjerning mer komplisert. Sikkerhetsteam jobbet med den Microsoft-eide plattformen for å fjerne de problematiske repositoriene, noe som midlertidig forstyrret kampanjen, men designet viser en klar intensjon om å motstå fremtidige fjerninger.

Geografisk fokus og tidligere aktivitet

Den nåværende kampanjen er hovedsakelig konsentrert i Brasil, selv om Astaroth historisk sett retter seg mot et bredt spekter av latinamerikanske land, inkludert Mexico, Uruguay, Argentina, Paraguay, Chile, Bolivia, Peru, Ecuador, Colombia, Venezuela og Panama. Dette er i samsvar med tidligere Astaroth-aktivitet: forskere flagget relaterte klynger (sporet som PINEAPPLE og Water Makara) i juli og oktober 2024 som brukte phishing-lokkemidler for å distribuere den samme familien av skadelig programvare.

Infeksjonskjeden

Angrepet starter vanligvis med en phishing-melding med DocuSign-tema som inneholder en lenke. Denne lenken leverer en ZIP-fil som inneholder en Windows-snarvei (.lnk). Når LNK-en åpnes, startes en obfuskert JavaScript-stub som henter ytterligere JavaScript fra eksternt hostede servere. Den hentede JavaScript-filen laster deretter ned flere filer fra en av flere hardkodede servere. Blant disse filene er et AutoIt-skript utført av JavaScript-nyttelasten; AutoIt-skriptet laster inn og kjører skallkode, som deretter laster inn en Delphi-basert DLL. Denne DLL-en dekrypterer Astaroth-nyttelasten og injiserer den i en nyopprettet RegSvc.exe-prosess – og fullfører dermed utrullingen.

Hva Astaroth gjør på infiserte verter

Astaroth er implementert i Delphi og er designet for å overvåke brukernes nettaktivitet, med fokus på besøk på bank- og kryptovalutarelaterte nettsteder. Den sjekker det aktive nettleservinduet hvert sekund. Når den oppdager et målrettet bank- eller kryptonettsted, kobler den tastaturhendelser for å fange opp tastetrykk og samle inn legitimasjon. Trojaneren overfører stjålne data tilbake til angriperne ved hjelp av en Ngrok reverse-proxy-tunnel, som tillater eksfiltrering selv når direkte C2-tilkobling er begrenset.

Eksempler på observerte mål

Forskerne listet opp et sett med bank- og kryptorelaterte nettsteder som ble observert overvåket av skadevaren:

  • caixa.gov.br
  • safra.com.br
  • itau.com.br
  • bancooriginal.com.br
  • santandernet.com.br
  • btgpactual.com
  • etherscan.io
  • binance.com
  • bitcointrade.com.br
  • metamask.io
  • foxbit.com.br
  • localbitcoins.com

Anti-analysefunksjoner

Astaroth inkluderer en rekke antianalyseteknikker. Den undersøker miljøet for virtualisering, emulering, feilsøking og vanlige analyseverktøy (eksempler inkluderer QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark og lignende verktøy) og vil avslutte seg selv hvis slike verktøy oppdages. Disse kontrollene gjør dynamisk analyse og sandkasseing vanskeligere for forsvarere.

Persistens, geofencing og lokale kontroller

For å opprettholde varigheten legger kampanjen en snarvei i Windows oppstartsmappen som starter AutoIt-skriptet ved omstart, noe som sikrer at skadevaren startes på nytt automatisk. Infeksjonskjeden inkluderer geofencing: den første URL-en som hentes av LNK er målrettet etter region, og skadevaren verifiserer også systemspråket – den unngår å kjøre på maskiner som er satt til engelsk/amerikansk språk. Disse sikkerhetstiltakene innsnevrer offerprofilen og reduserer utilsiktet eksponering.

Operasjonell innvirkning

Ved å misbruke GitHub til å være vert for skjulte konfigurasjonsoppdateringer, skapte operatørene en lett og vanskelig å fjerne sikkerhetskopieringskanal for Astaroth. Forskere koordinerte med den Microsoft-eide plattformen for å fjerne de skadelige lagringsplassene, noe som midlertidig forstyrret kampanjen. Bruken av legitime tjenester som reserve demonstrerer behovet for at forsvarere overvåker misbruk av sky- og kodehostingsplattformer som en del av C2-jakten.

Sammendrag

Denne kampanjen fremhever to trender som forsvarere må vurdere: (1) trusselaktører bruker i økende grad respekterte tredjepartsplattformer som robust infrastruktur, og (2) moderne skadelig programvare blander flere skript- og kompilerte komponenter (JavaScript → AutoIt → shellcode → Delphi DLL) for å komplisere analyse og fjerning av persistens. Kombinasjonen av GitHub-basert konfigurasjonsreserve, målrettet geofencing, sterke anti-analysekontroller og overvåking av nettleseraktivitet gjør Astaroth til en spesielt robust og personverninvaderende banktrojan. Årvåkenhet mot phishing-lokkemidler, overvåking av uvanlig GitHub-bildeaktivitet og robust endepunktdeteksjon som oppdager flertrinnskjeden er nøkkelen til å oppdage og forstyrre infeksjoner.

Trender

Mest sett

Laster inn...