Астарот банкарски тројанац
Истраживачи сајбер безбедности идентификовали су нову кампању која испоручује банкарског тројанца Астарот, који намерно користи легитимне сервисе као резервну меру за преживљавање напада. Уместо да се ослањају искључиво на традиционалне командно-контролне (C2) сервере које браниоци могу да лоцирају и ометају, оператери хостују податке о конфигурацији малвера на ГитХабу и уграђују их у слике путем стеганографије — омогућавајући малверу да се опорави и настави са радом чак и након што је инфраструктура заузета или онеспособљена.
Преглед садржаја
Како ГитХаб и стеганографија постају резервни Ц2
Нападачи постављају конфигурационе блобове унутар слика на јавним GitHub репозиторијумима. Када тројанац не може да дође до својих примарних C2 сервера, он повлачи ажуриране податке о конфигурацији из тих датотека слика — ефикасно претварајући добро познату платформу за хостовање кода у отпоран канал за испоруку резервних копија. Пошто су подаци скривени унутар слика, они се стапају са нормалним саобраћајем и репозиторијумима и отежавају откривање и уклањање. Безбедносни тимови су сарађивали са платформом у власништву Мајкрософта како би уклонили проблематичне репозиторијуме, што је привремено пореметило кампању, али дизајн показује јасну намеру да се одупре будућим уклањањима.
Географски фокус и претходна активност
Тренутна кампања је првенствено концентрисана у Бразилу, иако Астарот историјски циља широк спектар латиноамеричких земаља, укључујући Мексико, Уругвај, Аргентину, Парагвај, Чиле, Боливију, Перу, Еквадор, Колумбију, Венецуелу и Панаму. Ово је у складу са ранијим активностима Астарота: истраживачи су означили повезане кластере (праћене као PINEAPPLE и Water Makara) у јулу и октобру 2024. године који су користили фишинг мамце за дистрибуцију исте породице малвера.
Ланац инфекције
Напад обично почиње фишинг поруком са темом DocuSign-а која садржи линк. Тај линк доставља ZIP датотеку која садржи Windows пречицу (.lnk). Отварање LNK-а покреће замаскирани JavaScript стаб који преузима додатни JavaScript са екстерно хостованих сервера. Преузети JavaScript заузврат преузима више датотека са једног од неколико чврсто кодираних сервера. Међу тим датотекама је AutoIt скрипта коју извршава JavaScript корисни терет; AutoIt скрипта учитава и покреће шелкод, који затим учитава DLL заснован на Delphi-ју. Тај DLL дешифрује Astaroth корисни терет и убризгава га у новокреирани RegSvc.exe процес — чиме се завршава распоређивање.
Шта Астарот ради на зараженим домаћинима
Астарот је имплементиран у Делфију и дизајниран је да прати веб активности корисника, фокусирајући се на посете банкарским и веб-сајтовима везаним за криптовалуте. Проверава активни прозор прегледача сваке секунде; када открије циљани банкарски или крипто сајт, бележи догађаје са тастатуре како би забележио притиске тастера и прикупио акредитиве. Тројанац преноси украдене податке назад нападачима користећи Нгроков реверзни прокси тунел, омогућавајући крађу чак и када је директна C2 веза ограничена.
Примери посматраних циљева
Истраживачи су навели скуп банкарских и крипто сајтова које је пратио злонамерни софтвер:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
Могућности против анализе
Астарот укључује бројне технике против анализе. Он испитује окружење за виртуелизацију, емулацију, дебаговање и уобичајене алате за анализу (примери укључују QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark и сличне алате) и прекинуће рад ако се такви алати открију. Ове провере отежавају динамичку анализу и „песчаник“ за браниоце.
Провере перзистентности, геоограда и локалних подешавања
Да би се одржала истрајност, кампања поставља пречицу у фолдер Windows Startup која позива AutoIt скрипту при поновном покретању, осигуравајући да се малвер аутоматски поново покрене. Ланац инфекције укључује геофенсинг: почетни URL који LNK преузима је циљан по региону, а малвер такође проверава системске локалне поставке — избегава покретање на машинама подешеним на енглески/сједињене Америчке Државе локалне поставке. Ове мере заштите сужавају његов профил жртве и смањују случајну изложеност.
Оперативни утицај
Злоупотребом GitHub-а за хостовање прикривених ажурирања конфигурације, оператери су креирали лаган, тешко уклоњив резервни канал за Astaroth. Истраживачи су координирали са платформом у власништву Мајкрософта како би уклонили злонамерне репозиторијуме, што је привремено пореметило кампању. Коришћење легитимних сервиса за резервне услуге показује потребу да браниоци прате злоупотребу cloud и платформи за хостовање кода као део C2 лова.
Резиме
Ова кампања истиче два тренда која браниоци морају да узму у обзир: (1) актери претњи све више користе поштоване платформе трећих страна као отпорну инфраструктуру и (2) модерни малвер комбинује вишеструке скриптинг и компајлиране компоненте (JavaScript → AutoIt → shellcode → Delphi DLL) како би компликовали анализу и уклањање упорних инфекција. Комбинација резервне конфигурације засноване на GitHub-у, циљаног геофенсинга, јаких анти-аналитичких провера и праћења активности прегледача чини Astaroth посебно отпорним и приватност инвазивним банкарским тројанцем. Будност против фишинг мамаца, праћење необичне активности GitHub слика и робусна детекција крајњих тачака која уочава вишестепени ланац кључни су за откривање и ометање инфекција.
