Trojan bankowy Astaroth
Badacze cyberbezpieczeństwa zidentyfikowali nową kampanię rozprzestrzeniającą trojana bankowego Astaroth, który celowo wykorzystuje legalne usługi jako zabezpieczenie awaryjne, aby przetrwać ataki. Zamiast polegać wyłącznie na tradycyjnych serwerach Command-and-Control (C2), które obrońcy mogą zlokalizować i zakłócić, operatorzy hostują dane konfiguracyjne złośliwego oprogramowania w serwisie GitHub i osadzają je w obrazach za pomocą steganografii – umożliwiając złośliwemu oprogramowaniu odzyskanie danych i kontynuowanie działania nawet po przejęciu lub wyłączeniu infrastruktury.
Spis treści
Jak GitHub i steganografia stają się zapasowym C2
Atakujący umieszczają bloby konfiguracyjne w obrazach w publicznych repozytoriach GitHub. Gdy trojan nie może dotrzeć do swoich głównych serwerów C2, pobiera zaktualizowane dane konfiguracyjne z tych plików graficznych – skutecznie przekształcając znaną platformę do hostowania kodu w odporny kanał dystrybucji kopii zapasowych. Ponieważ dane są ukryte w obrazach, wtapiają się w normalny ruch i repozytoria, co utrudnia wykrywanie i usuwanie. Zespoły ds. bezpieczeństwa współpracowały z platformą należącą do Microsoftu, aby usunąć szkodliwe repozytoria, co tymczasowo zakłóciło kampanię, ale projekt wyraźnie wskazuje na zamiar przeciwdziałania przyszłym atakom.
Skupienie geograficzne i wcześniejsza aktywność
Obecna kampania koncentruje się głównie w Brazylii, choć historycznie Astaroth atakował szeroki zakres krajów Ameryki Łacińskiej, w tym Meksyk, Urugwaj, Argentynę, Paragwaj, Chile, Boliwię, Peru, Ekwador, Kolumbię, Wenezuelę i Panamę. Jest to zgodne z wcześniejszą aktywnością Astaroth: badacze oznaczyli powiązane klastry (oznaczone jako PINEAPPLE i Water Makara) w lipcu i październiku 2024 roku, które wykorzystywały przynęty phishingowe do dystrybucji tej samej rodziny złośliwego oprogramowania.
Łańcuch infekcji
Atak zazwyczaj rozpoczyna się od wiadomości phishingowej o tematyce DocuSign zawierającej link. Link ten dostarcza plik ZIP ze skrótem do systemu Windows (.lnk). Otwarcie pliku LNK uruchamia zaciemniony kod JavaScript, który pobiera dodatkowy kod JavaScript z zewnętrznych serwerów. Pobrany kod JavaScript z kolei pobiera wiele plików z jednego z kilku zakodowanych na stałe serwerów. Wśród tych plików znajduje się skrypt AutoIt wykonywany przez ładunek JavaScript; skrypt AutoIt ładuje i uruchamia kod powłoki, który następnie ładuje bibliotekę DLL opartą na Delphi. Biblioteka DLL odszyfrowuje ładunek Astaroth i wstrzykuje go do nowo utworzonego procesu RegSvc.exe, kończąc tym samym wdrożenie.
Co Astaroth robi na zainfekowanych gospodarzach
Astaroth został zaimplementowany w Delphi i służy do monitorowania aktywności użytkowników w sieci, ze szczególnym uwzględnieniem wizyt na stronach bankowych i związanych z kryptowalutami. Co sekundę sprawdza aktywne okno przeglądarki; po wykryciu docelowej strony bankowej lub kryptowalutowej, przechwytuje zdarzenia klawiatury, aby przechwycić naciśnięcia klawiszy i zebrać dane uwierzytelniające. Trojan przesyła skradzione dane z powrotem do atakujących za pomocą odwrotnego tunelu proxy Ngrok, umożliwiając eksfiltrację nawet przy ograniczonej bezpośredniej łączności C2.
Przykłady obserwowanych celów
Badacze wymienili zbiór witryn bankowych i związanych z kryptowalutami, które były monitorowane przez złośliwe oprogramowanie:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
Możliwości antyanalizy
Astaroth wykorzystuje liczne techniki antyanalizy. Bada środowisko pod kątem wirtualizacji, emulacji, debugowania i popularnych narzędzi analitycznych (przykładami są QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark i podobne) i kończy działanie w przypadku wykrycia takich narzędzi. Te kontrole utrudniają obrońcom dynamiczną analizę i sandboxing.
Trwałość, geofencing i sprawdzanie lokalizacji
Aby utrzymać trwałość, kampania umieszcza skrót w folderze Uruchamianie systemu Windows, który uruchamia skrypt AutoIt po ponownym uruchomieniu, zapewniając automatyczne ponowne uruchomienie złośliwego oprogramowania. Łańcuch infekcji obejmuje geofencing: początkowy adres URL pobrany przez LNK jest kontrolowany według regionu, a złośliwe oprogramowanie weryfikuje również ustawienia regionalne systemu — unika uruchamiania na komputerach z ustawieniami regionalnymi angielski/Stany Zjednoczone. Te zabezpieczenia zawężają profil ofiary i zmniejszają ryzyko przypadkowego narażenia.
Wpływ operacyjny
Wykorzystując GitHub do hostowania ukrytych aktualizacji konfiguracji, operatorzy stworzyli lekki, trudny do usunięcia kanał zapasowy dla Astaroth. Badacze skoordynowali działania z platformą należącą do Microsoftu w celu usunięcia złośliwych repozytoriów, co tymczasowo zakłóciło kampanię. Wykorzystanie legalnych usług jako zabezpieczenia awaryjnego pokazuje, że obrońcy muszą monitorować nadużycia platform chmurowych i hostingowych w ramach polowania na C2.
Streszczenie
Ta kampania uwypukla dwa trendy, które obrońcy muszą wziąć pod uwagę: (1) atakujący coraz częściej wykorzystują szanowane platformy zewnętrzne jako odporną infrastrukturę oraz (2) nowoczesne złośliwe oprogramowanie łączy wiele skryptów i skompilowanych komponentów (JavaScript → AutoIt → kod powłoki → biblioteka DLL Delphi), co komplikuje analizę i usuwanie trwałych błędów. Połączenie awaryjnej konfiguracji opartej na GitHub, ukierunkowanego geofencingu, silnych mechanizmów antyanalizowych i monitorowania aktywności przeglądarki sprawia, że Astaroth jest wyjątkowo odpornym i naruszającym prywatność trojanem bankowym. Czujność przed przynętami phishingowymi, monitorowanie nietypowej aktywności na obrazach GitHub oraz solidne wykrywanie punktów końcowych, które wykrywa wieloetapowy łańcuch, są kluczowe dla wykrywania i blokowania infekcji.
