Банковский троян Astaroth
Исследователи кибербезопасности выявили новую кампанию по распространению банковского трояна Astaroth, который намеренно использует легитимные сервисы в качестве запасного варианта для защиты от блокировок. Вместо того, чтобы полагаться исключительно на традиционные серверы управления и контроля (C2), которые могут быть обнаружены и выведены из строя специалистами по кибербезопасности, операторы размещают данные о конфигурации вредоносного ПО на GitHub и встраивают их в изображения с помощью стеганографии, что позволяет вредоносному ПО восстанавливаться и продолжать работу даже после захвата или отключения инфраструктуры.
Оглавление
Как GitHub и стеганография становятся резервным C2
Злоумышленники размещают файлы конфигурации внутри изображений в публичных репозиториях GitHub. Когда троян не может связаться со своими основными командными серверами, он извлекает обновлённые данные конфигурации из этих файлов изображений, фактически превращая известную платформу для размещения кода в надёжный резервный канал доставки. Поскольку данные скрыты внутри изображений, они сливаются с обычным трафиком и репозиториями, что затрудняет обнаружение и удаление. Службы безопасности совместно с платформой Microsoft удалили вредоносные репозитории, что временно нарушило кампанию, но дизайн явно демонстрирует намерение предотвратить будущие удаления.
Географический фокус и предшествующая деятельность
Текущая кампания сосредоточена преимущественно в Бразилии, хотя Astaroth исторически нацелен на широкий спектр стран Латинской Америки, включая Мексику, Уругвай, Аргентину, Парагвай, Чили, Боливию, Перу, Эквадор, Колумбию, Венесуэлу и Панаму. Это согласуется с предыдущей активностью Astaroth: в июле и октябре 2024 года исследователи отметили связанные кластеры (отслеживаемые как PINEAPPLE и Water Makara), которые использовали фишинговые приманки для распространения одного и того же семейства вредоносных программ.
Цепочка заражения
Атака обычно начинается с фишингового сообщения в стиле DocuSign, содержащего ссылку. Эта ссылка доставляет ZIP-архив с ярлыком Windows (.lnk). Открытие LNK-архива запускает обфусцированный JavaScript-код, который извлекает дополнительный JavaScript-код с внешних серверов. Извлеченный JavaScript, в свою очередь, загружает несколько файлов с одного из нескольких жёстко запрограммированных серверов. Среди этих файлов находится скрипт AutoIt, выполняемый полезной нагрузкой JavaScript; скрипт AutoIt загружает и запускает шелл-код, который затем загружает DLL-библиотеку на основе Delphi. Эта DLL расшифровывает полезную нагрузку Astaroth и внедряет её во вновь созданный процесс RegSvc.exe, завершая развёртывание.
Что Астарот делает с зараженными хозяевами
Astaroth реализован на Delphi и предназначен для мониторинга веб-активности пользователей, уделяя особое внимание посещениям банковских сайтов и сайтов, связанных с криптовалютами. Astaroth проверяет активное окно браузера каждую секунду; при обнаружении целевого банковского или криптовалютного сайта перехватывает события клавиатуры для перехвата нажатий клавиш и сбора учётных данных. Троян передаёт украденные данные злоумышленникам через обратный прокси-туннель Ngrok, что позволяет осуществлять кражу данных даже при ограниченном прямом подключении к командному серверу.
Примеры наблюдаемых целей
Исследователи составили список сайтов, связанных с банковской деятельностью и криптовалютами, которые, по их наблюдениям, отслеживались вредоносным ПО:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
Возможности антианализа
Astaroth включает в себя множество методов противодействия анализу. Он проверяет среду на наличие инструментов виртуализации, эмуляции, отладки и распространённых инструментов анализа (например, QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark и аналогичных) и завершает работу при их обнаружении. Эти проверки затрудняют динамический анализ и использование «песочницы» для специалистов по безопасности.
Устойчивость, геозонирование и проверки локали
Для поддержания активности вредоносная программа помещает ярлык в папку «Автозагрузка» Windows, который запускает скрипт AutoIt при перезагрузке, обеспечивая автоматический перезапуск вредоносной программы. Цепочка заражения включает в себя геозонирование: начальный URL-адрес, полученный LNK-запросом, привязан к региону, а вредоносная программа также проверяет региональные настройки системы — она избегает запуска на компьютерах с локалями «Английский» и «США». Эти меры предосторожности сужают профиль жертвы и снижают вероятность случайного заражения.
Эксплуатационное воздействие
Используя GitHub для скрытого размещения обновлений конфигурации, операторы создали лёгкий и трудноудаляемый резервный канал для Astaroth. Исследователи скоординировали свои действия с платформой Microsoft для удаления вредоносных репозиториев, что временно нарушило кампанию. Использование легитимных сервисов для отката демонстрирует необходимость для специалистов по безопасности отслеживать злоупотребления облачными платформами и платформами хостинга кода в рамках охоты за командными серверами.
Краткое содержание
Эта кампания выделяет две тенденции, которые необходимо учитывать специалистам по защите: (1) злоумышленники всё чаще используют проверенные сторонние платформы в качестве устойчивой инфраструктуры; (2) современные вредоносные программы сочетают в себе множество скриптовых и скомпилированных компонентов (JavaScript → AutoIt → шеллкод → DLL-библиотека Delphi), что затрудняет анализ и удаление уязвимостей. Сочетание резервной конфигурации на базе GitHub, целевого геозонирования, строгих антианализных проверок и мониторинга активности браузера делает Astaroth особенно устойчивым и нарушающим конфиденциальность банковским трояном. Ключевыми факторами для обнаружения и предотвращения заражений являются бдительность в отношении фишинговых приманок, мониторинг необычной активности изображений на GitHub и надёжное обнаружение конечных точек, позволяющее отслеживать многоступенчатую цепочку.
