Astaroth Banking Trojan
Studiuesit e sigurisë kibernetike kanë identifikuar një fushatë të re që përhap virusin trojan bankar Astaroth, i cili qëllimisht përdor shërbime legjitime si një alternativë për t'i mbijetuar sulmeve. Në vend që të mbështeten vetëm në serverat tradicionalë të Komandës dhe Kontrollit (C2) që mbrojtësit mund t'i gjejnë dhe prishin, operatorët po presin të dhëna të konfigurimit të malware-it në GitHub dhe i përfshijnë ato në imazhe nëpërmjet steganografisë - duke i lejuar malware-it të rikuperohet dhe të vazhdojë të funksionojë edhe pasi infrastruktura të sekuestrohet ose çaktivizohet.
Tabela e Përmbajtjes
Si GitHub dhe Steganografia Bëhen Një Rezervë C2
Sulmuesit vendosin blob-e konfigurimi brenda imazheve në depot publike të GitHub. Kur Trojan nuk mund të arrijë serverat e tij kryesorë C2, ai tërheq të dhëna të azhurnuara të konfigurimit nga ato skedarë imazhesh - duke e shndërruar në mënyrë efektive një platformë të njohur të strehimit të kodit në një kanal të qëndrueshëm të shpërndarjes së kopjeve rezervë. Për shkak se të dhënat janë të fshehura brenda imazheve, ato përzihen me trafikun normal dhe depot dhe e bëjnë zbulimin dhe heqjen më të komplikuar. Ekipet e sigurisë punuan me platformën në pronësi të Microsoft për të hequr depot ofenduese, të cilat ndërprenë përkohësisht fushatën, por dizajni tregon qëllim të qartë për t'i rezistuar heqjeve të ardhshme.
Fokusi Gjeografik dhe Aktiviteti i Mëparshëm
Fushata aktuale është përqendruar kryesisht në Brazil, megjithëse Astaroth historikisht synon një gamë të gjerë vendesh të Amerikës Latine, duke përfshirë Meksikën, Uruguain, Argjentinën, Paraguain, Kilin, Bolivinë, Perunë, Ekuadorin, Kolumbinë, Venezuelën dhe Panamanë. Kjo është në përputhje me aktivitetin e mëparshëm të Astaroth: studiuesit kanë shënuar grupe të lidhura (të gjurmuara si PINEAPPLE dhe Water Makara) në korrik dhe tetor 2024 që përdorën karremra phishing për të shpërndarë të njëjtën familje të malware-it.
Zinxhiri i Infeksionit
Sulmi zakonisht fillon me një mesazh phishing me temë DocuSign që përmban një lidhje. Kjo lidhje dërgon një ZIP që përmban një shkurtore të Windows (.lnk). Hapja e LNK-së nis një cung të paqartë JavaScript që merr JavaScript shtesë nga serverat e strehuar jashtë. JavaScript-i i marrë nga ana tjetër shkarkon skedarë të shumtë nga një nga disa serverë të koduar. Midis këtyre skedarëve është një skript AutoIt i ekzekutuar nga ngarkesa JavaScript; skripti AutoIt ngarkon dhe ekzekuton shellcode, i cili më pas ngarkon një DLL të bazuar në Delphi. Kjo DLL dekripton ngarkesën Astaroth dhe e injekton atë në një proces RegSvc.exe të krijuar rishtazi - duke përfunduar vendosjen.
Çfarë bën Astaroth te nikoqirët e infektuar
Astaroth është implementuar në Delphi dhe është projektuar për të monitoruar aktivitetin e përdoruesve në internet, duke u përqendruar në vizitat në faqet e internetit bankare dhe të lidhura me kriptovalutat. Ai kontrollon dritaren aktive të shfletuesit çdo sekondë; kur zbulon një faqe bankare ose kriptovalutash të synuar, ai lidh ngjarjet e tastierës për të kapur shtypjet e tasteve dhe për të mbledhur kredencialet. Trojani transmeton të dhëna të vjedhura përsëri te sulmuesit duke përdorur një tunel Ngrok reverse-proxy, duke lejuar nxjerrjen edhe kur lidhja direkte C2 është e kufizuar.
Shembuj të objektivave të vëzhguara
Studiuesit renditën një sërë faqesh bankare dhe të lidhura me kriptovalutat të vëzhguara duke u monitoruar nga malware:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactuale.com
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
Aftësitë kundër analizës
Astaroth përfshin teknika të shumta kundër analizës. Ai kontrollon mjedisin për virtualizim, emulim, debugging dhe mjete të zakonshme analize (shembujt përfshijnë QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark dhe mjete të ngjashme) dhe do të mbyllet vetë nëse zbulohen mjete të tilla. Këto kontrolle e bëjnë analizën dinamike dhe sandboxing më të vështirë për mbrojtësit.
Qëndrueshmëria, Gjeo-kufiri dhe Kontrollet e Vendndodhjes
Për të ruajtur qëndrueshmërinë, fushata vendos një shkurtore në dosjen Windows Startup që thirr skriptin AutoIt pas rinisjes, duke siguruar që malware të riniset automatikisht. Zinxhiri i infeksionit përfshin gjeofencimin: URL-ja fillestare e marrë nga LNK është e synuar sipas rajonit, dhe malware gjithashtu verifikon vendndodhjen e sistemit - ai shmang ekzekutimin në makina të vendosura në vendndodhjet e Anglishtes/Shteteve të Bashkuara. Këto masa mbrojtëse ngushtojnë profilin e viktimës dhe zvogëlojnë ekspozimin aksidental.
Ndikimi Operacional
Duke abuzuar me GitHub për të pritur përditësime të fshehta të konfigurimit, operatorët krijuan një kanal rezervë të lehtë dhe të vështirë për t'u hequr për Astaroth. Studiuesit u koordinuan me platformën në pronësi të Microsoft për të hequr depot keqdashëse, të cilat ndërprenë përkohësisht fushatën. Përdorimi i shërbimeve legjitime për rezervë tregon nevojën që mbrojtësit të monitorojnë abuzimin e platformave cloud dhe të strehimit të kodit si pjesë e gjuetisë C2.
Përmbledhje
Kjo fushatë nxjerr në pah dy trende që mbrojtësit duhet t'i marrin në konsideratë: (1) aktorët kërcënues përdorin gjithnjë e më shumë platforma të respektuara të palëve të treta si infrastrukturë elastike dhe (2) malware modern përzien komponentë të shumtë skriptimi dhe të kompiluar (JavaScript → AutoIt → shellcode → Delphi DLL) për të komplikuar analizën dhe heqjen e persistencës. Kombinimi i konfigurimit rezervë të bazuar në GitHub, gjeofencimit të synuar, kontrolleve të forta anti-analizë dhe monitorimit të aktivitetit të shfletuesit e bën Astaroth një trojan bankar veçanërisht elastik dhe që shkel privatësinë. Vigjilenca kundër joshjeve të phishing, monitorimi për aktivitetin e pazakontë të imazhit GitHub dhe zbulimi i fuqishëm i pikave fundore që dallon zinxhirin shumëfazor janë çelësi për zbulimin dhe ndërprerjen e infeksioneve.
