Astaroth Banking Trojan
Cybersecurityonderzoekers hebben een nieuwe campagne geïdentificeerd die de Astaroth banking trojan levert die opzettelijk legitieme services gebruikt als vangnet om aanvallen te overleven. In plaats van uitsluitend te vertrouwen op traditionele Command-and-Control (C2)-servers die verdedigers kunnen lokaliseren en verstoren, hosten de beheerders malwareconfiguratiegegevens op GitHub en sluiten deze via steganografie in afbeeldingen in. Zo kan de malware herstellen en blijven werken, zelfs nadat de infrastructuur is gehackt of uitgeschakeld.
Inhoudsopgave
Hoe GitHub en steganografie een back-up worden C2
De aanvallers plaatsen configuratieblobs in images op openbare GitHub-repositories. Wanneer de trojan zijn primaire C2-servers niet kan bereiken, haalt hij bijgewerkte configuratiegegevens uit die imagebestanden. Zo verandert een bekend platform voor codehosting in feite in een veerkrachtig kanaal voor back-uplevering. Omdat de gegevens verborgen zijn in images, vallen ze samen met het normale verkeer en de repositories, wat detectie en verwijdering bemoeilijkt. Beveiligingsteams werkten samen met het Microsoft-platform om de aanstootgevende repositories te verwijderen, wat de campagne tijdelijk verstoorde. Het ontwerp toont echter duidelijk de intentie om toekomstige verwijderingen te voorkomen.
Geografische focus en eerdere activiteit
De huidige campagne concentreert zich voornamelijk in Brazilië, hoewel Astaroth zich historisch gezien richt op een breed scala aan Latijns-Amerikaanse landen, waaronder Mexico, Uruguay, Argentinië, Paraguay, Chili, Bolivia, Peru, Ecuador, Colombia, Venezuela en Panama. Dit komt overeen met eerdere activiteiten van Astaroth: onderzoekers signaleerden in juli en oktober 2024 verwante clusters (gevolgd als PINEAPPLE en Water Makara) die phishing-lokmiddelen gebruikten om dezelfde malwarefamilie te verspreiden.
De infectieketen
De aanval begint meestal met een phishingbericht met DocuSign-thema en een link. Die link levert een ZIP-bestand op met daarin een Windows-snelkoppeling (.lnk). Het openen van de LNK start een verborgen JavaScript-stub die extra JavaScript ophaalt van extern gehoste servers. Het opgehaalde JavaScript downloadt vervolgens meerdere bestanden van een van de verschillende hardcoded servers. Onder die bestanden bevindt zich een AutoIt-script dat wordt uitgevoerd door de JavaScript-payload; het AutoIt-script laadt en voert shellcode uit, die vervolgens een Delphi-gebaseerde DLL laadt. Die DLL decodeert de Astaroth-payload en injecteert deze in een nieuw aangemaakt RegSvc.exe-proces, waarmee de implementatie wordt voltooid.
Wat Astaroth doet op geïnfecteerde hosts
Astaroth is geïmplementeerd in Delphi en is ontworpen om de webactiviteit van gebruikers te monitoren, met de nadruk op bezoeken aan websites over bankieren en cryptovaluta. Het controleert het actieve browservenster elke seconde; wanneer het een gerichte website over bankieren of cryptovaluta detecteert, koppelt het toetsenbordgebeurtenissen aan de trojan om toetsaanslagen te registreren en inloggegevens te verzamelen. De trojan stuurt gestolen gegevens terug naar de aanvallers via een Ngrok reverse-proxytunnel, waardoor exfiltratie mogelijk is, zelfs wanneer directe C2-connectiviteit beperkt is.
Voorbeelden van waargenomen doelen
De onderzoekers maakten een lijst van bank- en cryptogerelateerde sites die door de malware in de gaten werden gehouden:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
Anti-analysemogelijkheden
Astaroth bevat talloze anti-analysetechnieken. Het onderzoekt de omgeving op virtualisatie, emulatie, debuggen en gangbare analysetools (bijvoorbeeld QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark en vergelijkbare tools) en beëindigt zichzelf als dergelijke tools worden gedetecteerd. Deze controles maken dynamische analyse en sandboxing moeilijker voor verdedigers.
Persistentie, geofencing en locale controles
Om persistentie te behouden, plaatst de campagne een snelkoppeling in de Windows Opstartmap die het AutoIt-script aanroept bij het opnieuw opstarten, waardoor de malware automatisch opnieuw wordt gestart. De infectieketen omvat geofencing: de initiële URL die door de LNK wordt opgehaald, wordt per regio aangevallen en de malware controleert ook de landinstellingen van het systeem. De malware wordt niet uitgevoerd op machines die zijn ingesteld op de Engelse/Amerikaanse landinstellingen. Deze beveiligingen beperken het slachtofferprofiel en verminderen onbedoelde blootstelling.
Operationele impact
Door GitHub te misbruiken voor het hosten van heimelijke configuratie-updates, creëerden de operators een lichtgewicht, moeilijk te verwijderen back-upkanaal voor Astaroth. Onderzoekers werkten samen met het Microsoft-platform om de kwaadaardige repositories te verwijderen, wat de campagne tijdelijk verstoorde. Het gebruik van legitieme services als fallback toont aan dat verdedigers misbruik van cloud- en codehostingplatforms moeten monitoren als onderdeel van de C2-jacht.
Samenvatting
Deze campagne benadrukt twee trends waar verdedigers rekening mee moeten houden: (1) cybercriminelen gebruiken steeds vaker gerespecteerde platforms van derden als veerkrachtige infrastructuur en (2) moderne malware combineert meerdere scripts en gecompileerde componenten (JavaScript → AutoIt → shellcode → Delphi DLL) om analyse en persistentieverwijdering te compliceren. De combinatie van GitHub-gebaseerde configuratie fallback, gerichte geofencing, sterke anti-analysecontroles en monitoring van browseractiviteit maakt Astaroth een bijzonder veerkrachtige en privacy-invasieve bankingtrojan. Waakzaamheid tegen phishing-lokmiddelen, monitoring op ongebruikelijke GitHub-imageactiviteit en robuuste endpointdetectie die de multi-stage chain detecteert, zijn essentieel voor het detecteren en verstoren van infecties.
