Rabattoffert för flera licenser
Hotdatabas Banktrojan Astaroth Banking Trojan

Astaroth Banking Trojan

Med Mezo år Banktrojan
Översätt till:

Cybersäkerhetsforskare har identifierat en ny kampanj som levererar banktrojanen Astaroth, som avsiktligt använder legitima tjänster som reserv för att överleva nedtagningar. Istället för att enbart förlita sig på traditionella kommando-och-kontrollservrar (C2) som försvarare kan lokalisera och störa, lagrar operatörerna konfigurationsdata för skadlig kod på GitHub och bäddar in den i bilder via steganografi – vilket gör att skadlig kod kan återställas och fortsätta fungera även efter att infrastrukturen har beslagtagits eller inaktiverats.

Hur GitHub och steganografi blir en säkerhetskopia av C2

Angriparna placerar konfigurationsblobbar inuti bilder på offentliga GitHub-databaser. När trojanen inte kan nå sina primära C2-servrar hämtar den uppdaterad konfigurationsdata från dessa bildfiler – vilket effektivt förvandlar en välkänd kodplattform till en robust leveranskanal för säkerhetskopiering. Eftersom informationen är dold inuti bilder smälter den in i normal trafik och databaser och gör upptäckt och borttagning mer komplicerad. Säkerhetsteam arbetade med den Microsoft-ägda plattformen för att ta bort de problematiska databaserna, vilket tillfälligt störde kampanjen, men designen visar en tydlig avsikt att motstå framtida borttagningar.

Geografiskt fokus och tidigare aktivitet

Den nuvarande kampanjen är främst koncentrerad till Brasilien, även om Astaroth historiskt sett riktar sig mot en bred uppsättning latinamerikanska länder, inklusive Mexiko, Uruguay, Argentina, Paraguay, Chile, Bolivia, Peru, Ecuador, Colombia, Venezuela och Panama. Detta överensstämmer med tidigare Astaroth-aktivitet: forskare flaggade relaterade kluster (spårade som PINEAPPLE och Water Makara) i juli och oktober 2024 som använde nätfiskeförsök för att distribuera samma familj av skadlig kod.

Infektionskedjan

Attacken börjar vanligtvis med ett DocuSign-tema nätfiskemeddelande som innehåller en länk. Den länken levererar en ZIP-fil som innehåller en Windows-genväg (.lnk). När LNK öppnas startas en obfuskerad JavaScript-stub som hämtar ytterligare JavaScript från externt värdbaserade servrar. Det hämtade JavaScript-koden laddar i sin tur ner flera filer från en av flera hårdkodade servrar. Bland dessa filer finns ett AutoIt-skript som körs av JavaScript-nyttolasten; AutoIt-skriptet laddar och kör shellcode, som sedan laddar en Delphi-baserad DLL. Den DLL-filen dekrypterar Astaroth-nyttolasten och injicerar den i en nyskapad RegSvc.exe-process – vilket slutför distributionen.

Vad Astaroth gör på infekterade värdar

Astaroth implementeras i Delphi och är utformat för att övervaka användarnas webbaktivitet, med fokus på besök på bank- och kryptovalutarelaterade webbplatser. Den kontrollerar det aktiva webbläsarfönstret varje sekund; när den upptäcker en riktad bank- eller kryptowebbplats kopplar den tangentbordshändelser för att fånga tangenttryckningar och samla in autentiseringsuppgifter. Trojanen överför stulen data tillbaka till angriparna med hjälp av en Ngrok reverse-proxy-tunnel, vilket möjliggör exfiltrering även när direkt C2-anslutning är begränsad.

Exempel på observerade mål

Forskarna listade en uppsättning bank- och kryptorelaterade webbplatser som observerats övervakas av skadlig kod:

  • caixa.gov.br
  • safra.com.br
  • itau.com.br
  • bancooriginal.com.br
  • santandernet.com.br
  • btgpactual.com
  • etherscan.io
  • binance.com
  • bitcointrade.com.br
  • metamask.io
  • foxbit.com.br
  • localbitcoins.com

Anti-analysfunktioner

Astaroth innehåller ett flertal antianalystekniker. Den undersöker miljön för virtualisering, emulering, felsökning och vanliga analysverktyg (exempel inkluderar QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark och liknande verktyg) och avslutar sig själv om sådana verktyg upptäcks. Dessa kontroller gör dynamisk analys och sandlådehantering svårare för försvarare.

Persistens, geofencing och lokala kontroller

För att bibehålla beständigheten släpper kampanjen en genväg i Windows startmappen som anropar AutoIt-skriptet vid omstart, vilket säkerställer att skadlig kod startas om automatiskt. Infektionskedjan inkluderar geofencing: den initiala URL:en som hämtas av LNK riktas in efter region, och skadlig kod verifierar även systemets språkinställning – den undviker att köras på maskiner inställda på engelska/amerikanska språkinställningar. Dessa skyddsåtgärder begränsar dess offerprofil och minskar oavsiktlig exponering.

Operativ påverkan

Genom att missbruka GitHub för att vara värd för dolda konfigurationsuppdateringar skapade operatörerna en lätt och svår att ta bort säkerhetskopieringskanal för Astaroth. Forskare samordnade med den Microsoft-ägda plattformen för att ta bort de skadliga arkiven, vilket tillfälligt avbröt kampanjen. Användningen av legitima tjänster som reservtjänst visar på behovet av att försvarare övervakar missbruk av moln- och kodplattformar som en del av C2-jakten.

Sammanfattning

Denna kampanj belyser två trender som försvarare måste beakta: (1) hotaktörer använder i allt högre grad respekterade tredjepartsplattformar som motståndskraftig infrastruktur och (2) modern skadlig kod blandar flera skript- och kompilerade komponenter (JavaScript → AutoIt → shellcode → Delphi DLL) för att komplicera analys och borttagning av persistens. Kombinationen av GitHub-baserad konfigurationsreserv, riktad geofencing, starka anti-analyskontroller och övervakning av webbläsaraktivitet gör Astaroth till en särskilt motståndskraftig och integritetskränkande banktrojan. Vaksamhet mot nätfiskeattacker, övervakning av ovanlig GitHub-bildaktivitet och robust slutpunktsdetektering som upptäcker flerstegskedjan är nyckeln till att upptäcka och störa infektioner.

Trendigt

Mest sedda

Läser in...