Popust za več licenc
Podjetje o grožnjah bančni trojanec Bančni trojanec Astaroth

Bančni trojanec Astaroth

Do leta Mezo leta bančni trojanec
Prevedi v:

Raziskovalci kibernetske varnosti so odkrili novo kampanjo, ki širi bančnega trojanca Astaroth in namerno uporablja legitimne storitve kot rezervno možnost za preživetje napadov. Namesto da bi se zanašali izključno na tradicionalne strežnike Command-and-Control (C2), ki jih lahko branilci najdejo in prekinejo delovanje, operaterji gostijo podatke o konfiguraciji zlonamerne programske opreme na GitHubu in jih s steganografijo vgrajujejo v slike – kar omogoča, da si zlonamerna programska oprema opomore in nadaljuje z delovanjem tudi po zasegu ali onemogočenju infrastrukture.

Kako GitHub in steganografija postaneta rezervni C2

Napadalci namestijo konfiguracijske datoteke blob znotraj slik v javnih repozitorijih GitHub. Ko trojanec ne more doseči svojih primarnih strežnikov C2, iz teh slikovnih datotek potegne posodobljene konfiguracijske podatke – s čimer učinkovito spremeni dobro znano platformo za gostovanje kode v odporen kanal za dostavo varnostnih kopij. Ker so podatki skriti znotraj slik, se zlijejo z običajnim prometom in repozitoriji ter otežijo odkrivanje in odstranjevanje. Varnostne ekipe so sodelovale s platformo v lasti Microsofta, da bi odstranile sporna repozitorija, kar je začasno prekinilo kampanjo, vendar zasnova kaže jasen namen, da se upre prihodnjim odstranjevanjem.

Geografska usmerjenost in predhodna dejavnost

Trenutna kampanja je osredotočena predvsem na Brazilijo, čeprav Astaroth v preteklosti cilja na širok nabor latinskoameriških držav, vključno z Mehiko, Urugvajem, Argentino, Paragvajem, Čilom, Bolivijo, Perujem, Ekvadorjem, Kolumbijo, Venezuelo in Panamo. To je skladno s prejšnjimi aktivnostmi Astarotha: raziskovalci so julija in oktobra 2024 označili povezane skupine (sledene kot PINEAPPLE in Water Makara), ki so uporabljale lažne vabe za distribucijo iste družine zlonamerne programske opreme.

Veriga okužbe

Napad se običajno začne s sporočilom lažnega predstavljanja s temo DocuSign, ki vsebuje povezavo. Ta povezava dostavi datoteko ZIP z bližnjico sistema Windows (.lnk). Odpiranje povezave LNK zažene zakrito datoteko JavaScript, ki pridobi dodatno kodo JavaScript z zunanjih strežnikov. Pridobljena koda JavaScript nato prenese več datotek z enega od več trdo kodiranih strežnikov. Med temi datotekami je skript AutoIt, ki ga izvaja koristni tok JavaScript; skript AutoIt naloži in zažene lupinsko kodo, ki nato naloži datoteko DLL, ki temelji na Delphiju. Ta DLL dešifrira koristni tok Astaroth in ga vbrizga v novo ustvarjen proces RegSvc.exe – s čimer se dokonča namestitev.

Kaj Astaroth naredi na okuženih gostiteljih

Astaroth je implementiran v Delphiju in je zasnovan za spremljanje spletne aktivnosti uporabnikov, s poudarkom na obiskih spletnih mest, povezanih z bančništvom in kriptovalutami. Vsako sekundo preverja aktivno okno brskalnika; ko zazna ciljno bančno ali kripto spletno mesto, zazna dogodke na tipkovnici, da zajame pritiske tipk in pridobi poverilnice. Trojanec ukradene podatke napadalcem posreduje nazaj z uporabo tunela Ngrok reverse-proxy, kar omogoča izgon tudi, ko je neposredna povezljivost C2 omejena.

Primeri opazovanih ciljev

Raziskovalci so našteli vrsto bančnih in kripto spletnih mest, ki jih je opazila zlonamerna programska oprema, ki jih je nadzorovala:

  • caixa.gov.br
  • safra.com.br
  • itau.com.br
  • bancooriginal.com.br
  • santandernet.com.br
  • btgpactual.com
  • etherscan.io
  • binance.com
  • bitcointrade.com.br
  • metamask.io
  • foxbit.com.br
  • localbitcoins.com

Zmogljivosti proti analizi

Astaroth vključuje številne tehnike protianalize. Preiskuje okolje za orodja za virtualizacijo, emulacijo, odpravljanje napak in običajna orodja za analizo (primeri vključujejo QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark in podobna orodja) in se bo samodejno ustavil, če bodo taka orodja zaznana. Ta preverjanja branilcem otežujejo dinamično analizo in delovanje v peskovniku.

Preverjanje vztrajnosti, geoograj in lokacijskih nastavitev

Za ohranitev obstojnosti kampanja v mapo zagona sistema Windows spusti bližnjico, ki ob ponovnem zagonu zažene skript AutoIt in tako zagotovi, da se zlonamerna programska oprema samodejno zažene. Veriga okužbe vključuje geofencing: začetni URL, ki ga pridobi LNK, je usmerjen po regiji, zlonamerna programska oprema pa preveri tudi sistemske nastavitve – tako se izogne izvajanju na računalnikih, ki so nastavljeni na angleščino/združene države Amerike. Ti zaščitni ukrepi zožijo profil žrtve in zmanjšajo nenamerno izpostavljenost.

Operativni vpliv

Z zlorabo GitHuba za gostovanje prikritih posodobitev konfiguracije so operaterji ustvarili lahek in težko uničljiv rezervni kanal za Astaroth. Raziskovalci so se uskladili s platformo v lasti Microsofta, da bi odstranili zlonamerne repozitorije, kar je začasno prekinilo kampanjo. Uporaba legitimnih storitev za rezervni način kaže na potrebo, da zagovorniki spremljajo zlorabo platform za gostovanje kode v oblaku kot del lova na C2.

Povzetek

Ta kampanja poudarja dva trenda, ki ju morajo zagovorniki upoštevati: (1) akterji grožnje vse pogosteje uporabljajo ugledne platforme tretjih oseb kot odporno infrastrukturo in (2) sodobna zlonamerna programska oprema združuje več skriptnih in prevedenih komponent (JavaScript → AutoIt → shellcode → Delphi DLL), da bi otežila analizo in odstranjevanje obstojnosti. Kombinacija konfiguracije, ki temelji na GitHubu, ciljno usmerjenega geofencinga, močnih antianalitičnih preverjanj in spremljanja dejavnosti brskalnika naredi Astaroth še posebej odporen in zasebnostno vsiljujoč bančni trojanec. Budnost pred lažnim predstavljanjem, spremljanje nenavadne dejavnosti slik GitHub in robustno zaznavanje končnih točk, ki opazi večstopenjsko verigo, so ključni za odkrivanje in prekinitev okužb.

V trendu

Najbolj gledan

Nalaganje...