Astaroth Banking Trojan

साइबर सुरक्षा अनुसन्धानकर्ताहरूले एस्टारोथ बैंकिङ ट्रोजन प्रदान गर्ने एउटा नयाँ अभियान पहिचान गरेका छन् जसले टेकडाउनबाट बच्नको लागि जानाजानी वैध सेवाहरूलाई फलब्याकको रूपमा प्रयोग गर्दछ। डिफेन्डरहरूले पत्ता लगाउन र विघटन गर्न सक्ने परम्परागत कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरहरूमा मात्र भर पर्नुको सट्टा, अपरेटरहरूले GitHub मा मालवेयर कन्फिगरेसन डेटा होस्ट गरिरहेका छन् र स्टेगानोग्राफी मार्फत छविहरूमा इम्बेड गरिरहेका छन् - मालवेयरलाई पुन: प्राप्ति गर्न र पूर्वाधार जफत वा असक्षम पारिएपछि पनि सञ्चालन जारी राख्न अनुमति दिँदै।

कसरी GitHub र स्टेगानोग्राफी ब्याकअप C2 बन्छ

आक्रमणकारीहरूले सार्वजनिक GitHub भण्डारहरूमा छविहरू भित्र कन्फिगरेसन ब्लबहरू राख्छन्। जब ट्रोजनले आफ्नो प्राथमिक C2 सर्भरहरूमा पुग्न सक्दैन, यसले ती छवि फाइलहरूबाट अद्यावधिक कन्फिगरेसन डेटा तान्छ - प्रभावकारी रूपमा एक प्रसिद्ध कोड-होस्टिङ प्लेटफर्मलाई लचिलो ब्याकअप डेलिभरी च्यानलमा परिणत गर्दछ। किनभने डेटा छविहरू भित्र लुकेको छ, यो सामान्य ट्राफिक र भण्डारहरूमा मिसिन्छ र पत्ता लगाउने र हटाउने कामलाई अझ जटिल बनाउँछ। सुरक्षा टोलीहरूले आपत्तिजनक रिपोहरू हटाउन माइक्रोसफ्टको स्वामित्वमा रहेको प्लेटफर्मसँग काम गरे, जसले अभियानलाई अस्थायी रूपमा बाधा पुर्‍यायो, तर डिजाइनले भविष्यमा हटाउने प्रतिरोध गर्ने स्पष्ट मनसाय देखाउँछ।

भौगोलिक केन्द्रबिन्दु र पूर्व गतिविधि

हालको अभियान मुख्यतया ब्राजिलमा केन्द्रित छ, यद्यपि एस्टारोथले ऐतिहासिक रूपमा मेक्सिको, उरुग्वे, अर्जेन्टिना, पाराग्वे, चिली, बोलिभिया, पेरु, इक्वेडर, कोलम्बिया, भेनेजुएला र पानामा सहित ल्याटिन अमेरिकी देशहरूको विस्तृत समूहलाई लक्षित गर्दछ। यो पहिलेको एस्टारोथ गतिविधिसँग मिल्दोजुल्दो छ: अनुसन्धानकर्ताहरूले जुलाई र अक्टोबर २०२४ मा सम्बन्धित क्लस्टरहरू (PINEAPPLE र Water Makara को रूपमा ट्र्याक गरिएको) लाई फ्ल्याग गरे जसले मालवेयरको एउटै परिवार वितरण गर्न फिसिङ लुभरहरू प्रयोग गर्थे।

संक्रमण शृङ्खला

आक्रमण सामान्यतया DocuSign-थीम भएको फिसिङ सन्देशबाट सुरु हुन्छ जसमा लिङ्क हुन्छ। त्यो लिङ्कले Windows सर्टकट (.lnk) भएको ZIP डेलिभर गर्छ। LNK खोल्दा एउटा अस्पष्ट JavaScript स्टब सुरु हुन्छ जसले बाह्य रूपमा होस्ट गरिएका सर्भरहरूबाट थप JavaScript ल्याउँछ। फेच गरिएको JavaScript ले धेरै हार्ड-कोड गरिएका सर्भरहरू मध्ये एकबाट धेरै फाइलहरू डाउनलोड गर्छ। ती फाइलहरू मध्ये JavaScript पेलोडद्वारा निष्पादित AutoIt स्क्रिप्ट हो; AutoIt स्क्रिप्टले शेलकोड लोड गर्छ र चलाउँछ, जसले त्यसपछि डेल्फी-आधारित DLL लोड गर्छ। त्यो DLL ले Astaroth पेलोडलाई डिक्रिप्ट गर्छ र यसलाई नयाँ सिर्जना गरिएको RegSvc.exe प्रक्रियामा इन्जेक्ट गर्छ — तैनाती पूरा गर्दै।

संक्रमित होस्टहरूमा एस्टारोथले के गर्छ?

Astaroth डेल्फीमा लागू गरिएको छ र बैंकिङ र क्रिप्टोकरेन्सी-सम्बन्धित वेबसाइटहरूमा भ्रमणहरूमा ध्यान केन्द्रित गर्दै प्रयोगकर्ताहरूको वेब गतिविधि निगरानी गर्न डिजाइन गरिएको हो। यसले प्रत्येक सेकेन्डमा सक्रिय ब्राउजर विन्डो जाँच गर्दछ; जब यसले लक्षित बैंकिङ वा क्रिप्टो साइट पत्ता लगाउँछ, यसले किस्ट्रोकहरू र फसल प्रमाणहरू खिच्न किबोर्ड घटनाहरूलाई हुक गर्दछ। ट्रोजनले Ngrok रिभर्स-प्रोक्सी टनेल प्रयोग गरेर चोरी गरिएको डाटा आक्रमणकारीहरूलाई फिर्ता पठाउँछ, प्रत्यक्ष C2 जडान प्रतिबन्धित हुँदा पनि एक्सफिल्टरेशनलाई अनुमति दिन्छ।

अवलोकन गरिएका लक्ष्यहरूका उदाहरणहरू

अनुसन्धानकर्ताहरूले मालवेयरद्वारा निगरानी गरिएको बैंकिङ र क्रिप्टो-सम्बन्धित साइटहरूको सेट सूचीबद्ध गरे:

• caixa.gov.br मा जानुहोस्
• safra.com.br मा लग इन गर्नुहोस्।
• itau.com.br मा
• bancooriginal.com.br मा लग इन गर्नुहोस्।
• santandernet.com.br मा
• btgpactual.com ले
• etherscan.io ले तपाईंलाई
• binance.com मा
• बिटकॉइनट्रेड.कम.ब्र
• metamask.io ले तपाईंलाई
• foxbit.com.br मा लग इन गर्नुहोस्
• स्थानीय बिटकॉइन.कम

विश्लेषण विरोधी क्षमताहरू

Astaroth मा असंख्य एन्टी-एनालिसिस प्रविधिहरू समावेश छन्। यसले भर्चुअलाइजेशन, इमुलेशन, डिबगिङ र सामान्य विश्लेषण उपकरणहरू (उदाहरणहरूमा QEMU अतिथि एजेन्ट, HookExplorer, IDA Pro, इम्युनिटी डिबगर, PE उपकरणहरू, WinDbg, Wireshark र समान उपकरणहरू समावेश छन्) को लागि वातावरणको जाँच गर्दछ र यदि त्यस्ता उपकरणहरू पत्ता लागेमा आफैं समाप्त हुनेछ। यी जाँचहरूले डिफेन्डरहरूको लागि गतिशील विश्लेषण र स्यान्डबक्सिङलाई अझ गाह्रो बनाउँछ।

दृढता, जियोफेन्सिङ, र लोकेल जाँचहरू

दृढता कायम राख्न, अभियानले विन्डोज स्टार्टअप फोल्डरमा सर्टकट छोड्छ जसले रिबुट गर्दा AutoIt स्क्रिप्टलाई आह्वान गर्छ, जसले मालवेयर स्वचालित रूपमा पुन: सुरु हुन्छ भन्ने सुनिश्चित गर्दछ। संक्रमण श्रृंखलामा जियोफेन्सिङ समावेश छ: LNK द्वारा प्राप्त गरिएको प्रारम्भिक URL क्षेत्रद्वारा लक्षित छ, र मालवेयरले प्रणाली लोकेललाई पनि प्रमाणित गर्दछ - यसले अंग्रेजी/संयुक्त राज्य लोकेलहरूमा सेट गरिएका मेसिनहरूमा चल्नबाट जोगाउँछ। यी सुरक्षा उपायहरूले यसको पीडित प्रोफाइललाई साँघुरो बनाउँछ र आकस्मिक जोखिम कम गर्छ।

सञ्चालन प्रभाव

गोप्य कन्फिगरेसन अपडेटहरू होस्ट गर्न GitHub को दुरुपयोग गरेर, अपरेटरहरूले Astaroth को लागि हल्का, हटाउन गाह्रो ब्याकअप च्यानल सिर्जना गरे। अनुसन्धानकर्ताहरूले माइक्रोसफ्टको स्वामित्वमा रहेको प्लेटफर्मसँग समन्वय गरेर दुर्भावनापूर्ण भण्डारहरू हटाउने काम गरे, जसले अभियानलाई अस्थायी रूपमा बाधा पुर्‍यायो। फलब्याकको लागि वैध सेवाहरूको प्रयोगले C2 शिकारको भागको रूपमा क्लाउड र कोड-होस्टिङ प्लेटफर्महरूको दुरुपयोग निगरानी गर्न डिफेन्डरहरूको आवश्यकतालाई प्रदर्शन गर्दछ।

निष्कर्षमा

यो अभियानले रक्षकहरूले विचार गर्नुपर्ने दुई प्रवृत्तिहरूलाई हाइलाइट गर्दछ: (१) खतरा अभिनेताहरूले बढ्दो रूपमा सम्मानित तेस्रो-पक्ष प्लेटफर्महरूलाई लचिलो पूर्वाधारको रूपमा प्रयोग गर्छन् र (२) आधुनिक मालवेयरले विश्लेषण र दृढता हटाउन जटिल बनाउन धेरै स्क्रिप्टिङ र कम्पाइल गरिएका घटकहरू (जाभास्क्रिप्ट → अटोइट → शेलकोड → डेल्फी DLL) मिश्रण गर्दछ। GitHub-आधारित कन्फिगरेसन फलब्याक, लक्षित जियोफेन्सिङ, बलियो एन्टी-विश्लेषण जाँचहरू, र ब्राउजर गतिविधि अनुगमनको संयोजनले Astaroth लाई विशेष रूपमा लचिलो र गोपनीयता-आक्रामक बैंकिङ ट्रोजन बनाउँछ। फिसिङ प्रलोभनहरू विरुद्ध सतर्कता, असामान्य GitHub छवि गतिविधिको लागि निगरानी, र बहु-चरण श्रृंखलालाई स्पट गर्ने बलियो अन्त्यबिन्दु पत्ता लगाउने संक्रमणहरू पत्ता लगाउन र अवरोध गर्न महत्वपूर्ण छन्।