Trojanul bancar Astaroth
Cercetătorii în domeniul securității cibernetice au identificat o nouă campanie care transmite troianul bancar Astaroth, ce folosește în mod deliberat servicii legitime ca soluție de rezervă pentru a supraviețui atacurilor. În loc să se bazeze exclusiv pe serverele tradiționale de comandă și control (C2) pe care apărătorii le pot localiza și perturba, operatorii găzduiesc date de configurare a programelor malware pe GitHub și le încorporează în imagini prin steganografie - permițând programelor malware să se recupereze și să continue să funcționeze chiar și după ce infrastructura este confiscată sau dezactivată.
Cuprins
Cum GitHub și Steganography devin o copie de rezervă C2
Atacatorii plasează fișiere de configurare în imagini din depozitele publice GitHub. Când troianul nu poate ajunge la serverele sale C2 principale, acesta extrage date de configurare actualizate din acele fișiere imagine - transformând efectiv o platformă de găzduire a codului bine-cunoscută într-un canal rezistent de livrare a backup-urilor. Deoarece datele sunt ascunse în imagini, acestea se amestecă în traficul normal și în depozite și fac detectarea și eliminarea mai complicate. Echipele de securitate au lucrat cu platforma deținută de Microsoft pentru a elimina depozitele ofensatoare, care au perturbat temporar campania, dar designul arată o intenție clară de a rezista eliminărilor viitoare.
Focalizare geografică și activitate anterioară
Campania actuală este concentrată în principal în Brazilia, deși Astaroth vizează în mod tradițional o gamă largă de țări din America Latină, inclusiv Mexic, Uruguay, Argentina, Paraguay, Chile, Bolivia, Peru, Ecuador, Columbia, Venezuela și Panama. Acest lucru este în concordanță cu activitatea anterioară a Astaroth: cercetătorii au semnalat clustere similare (urmărite ca PINEAPPLE și Water Makara) în iulie și octombrie 2024 care au folosit momeli de phishing pentru a distribui aceeași familie de programe malware.
Lanțul de infecție
Atacul începe de obicei cu un mesaj de phishing cu tematică DocuSign care conține un link. Linkul respectiv livrează un fișier ZIP care conține o comandă rapidă Windows (.lnk). Deschiderea fișierului LNK lansează un stub JavaScript ofuscat care preia JavaScript suplimentar de pe servere găzduite extern. JavaScript-ul preluat descarcă, la rândul său, mai multe fișiere de pe unul dintre serverele hardcoded. Printre aceste fișiere se numără un script AutoIt executat de sarcina utilă JavaScript; scriptul AutoIt încarcă și rulează shellcode, care apoi încarcă un DLL bazat pe Delphi. DLL-ul respectiv decriptează sarcina utilă Astaroth și o injectează într-un proces RegSvc.exe nou creat - finalizând implementarea.
Ce face Astaroth asupra gazdelor infectate
Astaroth este implementat în Delphi și este conceput pentru a monitoriza activitatea web a utilizatorilor, concentrându-se pe vizitele pe site-uri web legate de servicii bancare și criptomonede. Verifică fereastra activă a browserului în fiecare secundă; când detectează un site bancar sau cripto vizat, deconectează evenimentele de la tastatură pentru a captura apăsările de taste și a colecta acreditări. Trojanul transmite datele furate înapoi atacatorilor folosind un tunel reverse-proxy Ngrok, permițând exfiltrarea chiar și atunci când conectivitatea directă C2 este restricționată.
Exemple de ținte observate
Cercetătorii au enumerat o serie de site-uri bancare și legate de criptomonede care au fost monitorizate de malware:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
Capacități anti-analiză
Astaroth include numeroase tehnici anti-analiză. Acesta sondează mediul pentru virtualizare, emulare, depanare și instrumente comune de analiză (exemple includ QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark și instrumente similare) și se va opri automat dacă sunt detectate astfel de instrumente. Aceste verificări fac analiza dinamică și sandboxing-ul mai dificil pentru apărători.
Persistență, geofencing și verificări ale setărilor locale
Pentru a menține persistența, campania plasează o comandă rapidă în folderul Startup Windows care invocă scriptul AutoIt la repornire, asigurându-se că malware-ul se relansează automat. Lanțul de infectare include geofencing: adresa URL inițială preluată de LNK este direcționată în funcție de regiune, iar malware-ul verifică și setările regionale ale sistemului - evită rularea pe mașini setate la setările regionale Engleză/Statele Unite. Aceste măsuri de siguranță restrâng profilul victimei și reduc expunerea accidentală.
Impact operațional
Abuzând de GitHub pentru a găzdui actualizări de configurație ascunse, operatorii au creat un canal de backup ușor și greu de dezactivat pentru Astaroth. Cercetătorii s-au coordonat cu platforma deținută de Microsoft pentru a elimina depozitele malițioase, care au perturbat temporar campania. Utilizarea serviciilor legitime ca rezervă demonstrează necesitatea ca apărătorii să monitorizeze abuzul platformelor de cloud și de găzduire a codului ca parte a vânătorii de atacuri C2.
Rezumat
Această campanie evidențiază două tendințe pe care apărătorii trebuie să le ia în considerare: (1) actorii care atacă atacuri utilizează din ce în ce mai mult platforme terțe respectate ca infrastructură rezistentă și (2) programele malware moderne combină mai multe componente de scripting și compilate (JavaScript → AutoIt → shellcode → Delphi DLL) pentru a complica analiza și eliminarea persistenței. Combinația dintre configurația de rezervă bazată pe GitHub, geofencing-ul direcționat, verificările anti-analiză puternice și monitorizarea activității browserului face ca Astaroth să fie un troian bancar deosebit de rezistent și care invadă confidențialitatea. Vigilența împotriva tentativelor de phishing, monitorizarea activității neobișnuite a imaginilor GitHub și detectarea robustă a endpoint-urilor care identifică lanțul în mai multe etape sunt esențiale pentru detectarea și întreruperea infecțiilor.
