Bankový trójsky kôň Astaroth
Výskumníci v oblasti kybernetickej bezpečnosti identifikovali novú kampaň s bankovým trójskym koňom Astaroth, ktorý zámerne využíva legitímne služby ako záložný spôsob, ako prežiť útoky. Namiesto toho, aby sa prevádzkovatelia spoliehali výlučne na tradičné servery Command-and-Control (C2), ktoré dokážu obrancovia lokalizovať a narušiť, hostia konfiguračné údaje malvéru na GitHub a vkladajú ich do obrazov pomocou steganografie, čo umožňuje malvéru obnoviť sa a pokračovať v prevádzke aj po zabavení alebo deaktivácii infraštruktúry.
Obsah
Ako sa GitHub a steganografia stávajú zálohou C2
Útočníci umiestňujú konfiguračné objekty blob do obrázkov na verejných repozitároch GitHub. Keď sa trójsky kôň nemôže dostať na svoje primárne servery C2, stiahne aktualizované konfiguračné údaje z týchto obrazových súborov – čím efektívne premení známu platformu na hosťovanie kódu na odolný kanál na doručovanie záloh. Keďže údaje sú skryté vo vnútri obrázkov, splývajú s bežnou prevádzkou a repozitármi a komplikujú ich detekciu a odstránenie. Bezpečnostné tímy spolupracovali s platformou vlastnenou spoločnosťou Microsoft na odstránení problematických repozitárov, čo dočasne narušilo kampaň, ale dizajn ukazuje jasný zámer odolávať budúcim odstráneniam.
Geografické zameranie a predchádzajúca činnosť
Súčasná kampaň je sústredená predovšetkým v Brazílii, hoci Astaroth sa historicky zameriava na širokú škálu latinskoamerických krajín vrátane Mexika, Uruguaja, Argentíny, Paraguaja, Čile, Bolívie, Peru, Ekvádoru, Kolumbie, Venezuely a Panamy. To je v súlade s predchádzajúcou aktivitou Astarothu: výskumníci v júli a októbri 2024 označili súvisiace klastre (sledované ako PINEAPPLE a Water Makara), ktoré používali phishingové návnady na distribúciu rovnakej rodiny malvéru.
Reťazec infekcie
Útok zvyčajne začína phishingovou správou s témou DocuSign, ktorá obsahuje odkaz. Tento odkaz odošle ZIP súbor so skratkou pre Windows (.lnk). Otvorením LNK sa spustí obfuskovaný JavaScriptový stub, ktorý načíta ďalší JavaScript z externe hostovaných serverov. Načítaný JavaScript následne stiahne viacero súborov z jedného z niekoľkých pevne naprogramovaných serverov. Medzi týmito súbormi je skript AutoIt spustený dátovým dátom JavaScript; skript AutoIt načíta a spustí shellcode, ktorý potom načíta knižnicu DLL založenú na Delphi. Táto knižnica DLL dešifruje dátové dáta Astaroth a vloží ich do novovytvoreného procesu RegSvc.exe, čím sa dokončí nasadenie.
Čo robí Astaroth na infikovaných hostiteľoch
Astaroth je implementovaný v Delphi a je navrhnutý tak, aby monitoroval webovú aktivitu používateľov so zameraním na návštevy bankových a kryptomenových webových stránok. Každú sekundu kontroluje aktívne okno prehliadača; keď zistí cieľovú bankovú alebo kryptomenovú stránku, zachytí udalosti klávesnice, aby zachytil stlačenia klávesov a získal prihlasovacie údaje. Trójsky kôň prenáša ukradnuté údaje späť útočníkom pomocou reverzného proxy tunela Ngrok, čo umožňuje únik údajov aj v prípade, že je priame pripojenie C2 obmedzené.
Príklady pozorovaných cieľov
Výskumníci uviedli súbor bankových a kryptomenových stránok, ktoré boli monitorované malvérom:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
Schopnosti antianalýzy
Astaroth obsahuje množstvo antianalytických techník. Preskúmava prostredie a hľadá virtualizačné, emulačné, ladiace a bežné analytické nástroje (napríklad QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark a podobné nástroje) a v prípade zistenia takýchto nástrojov sa sám ukončí. Tieto kontroly sťažujú obrancom dynamickú analýzu a sandboxing.
Kontroly perzistencie, geofencingu a lokality
Aby sa zachovala trvalosť, kampaň umiestni do priečinka Po spustení systému Windows odkaz, ktorý pri reštarte spustí skript AutoIt, čím sa zabezpečí automatické spustenie malvéru. Reťazec infekcie zahŕňa geofencing: počiatočná URL adresa načítaná LNK je zacielená podľa regiónu a malvér tiež overuje miestne nastavenie systému – vyhýba sa spusteniu na počítačoch nastavených na angličtinu/Spojené štáty. Tieto ochranné opatrenia zužujú profil obete a znižujú náhodné vystavenie.
Prevádzkový vplyv
Zneužívaním GitHubu na hosťovanie skrytých aktualizácií konfigurácie vytvorili operátori pre Astaroth ľahký a ťažko odstrániteľný záložný kanál. Výskumníci sa koordinovali s platformou vlastnenou spoločnosťou Microsoft, aby odstránili škodlivé repozitáre, čo dočasne narušilo kampaň. Používanie legitímnych služieb ako záložného riešenia demonštruje potrebu, aby obrancovia monitorovali zneužívanie cloudových a kódových platforiem ako súčasť lovu C2.
Zhrnutie
Táto kampaň zdôrazňuje dva trendy, ktoré musia obrancovia zvážiť: (1) útočníci čoraz častejšie používajú rešpektované platformy tretích strán ako odolnú infraštruktúru a (2) moderný malvér kombinuje viacero skriptov a kompilovaných komponentov (JavaScript → AutoIt → shellcode → Delphi DLL), aby skomplikoval analýzu a odstraňovanie perzistencie. Kombinácia konfigurácie založenej na GitHub, cieleného geofencingu, silných antianalytických kontrol a monitorovania aktivity prehliadača robí z Astarothu obzvlášť odolného a súkromie narúšajúceho bankový trójsky kôň. Kľúčom k detekcii a narušeniu infekcií je ostražitosť pred phishingovými návnadami, monitorovanie nezvyčajnej aktivity obrázkov GitHub a robustná detekcia koncových bodov, ktorá odhaľuje viacstupňový reťazec.
