அஸ்டரோத் வங்கி ட்ரோஜன்

தரமிறக்குதல்களைத் தக்கவைக்க வேண்டுமென்றே முறையான சேவைகளைப் பயன்படுத்தும் Astaroth வங்கி ட்ரோஜனை வழங்கும் புதிய பிரச்சாரத்தை சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள் அடையாளம் கண்டுள்ளனர். பாதுகாவலர்கள் கண்டுபிடித்து சீர்குலைக்கக்கூடிய பாரம்பரிய கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகங்களை மட்டுமே நம்புவதற்குப் பதிலாக, ஆபரேட்டர்கள் GitHub இல் தீம்பொருள் உள்ளமைவுத் தரவை ஹோஸ்ட் செய்து, அதை ஸ்டெகனோகிராபி மூலம் படங்களில் உட்பொதிக்கின்றனர் - உள்கட்டமைப்பு கைப்பற்றப்பட்ட பின்னரும் அல்லது முடக்கப்பட்ட பின்னரும் தீம்பொருள் மீட்கப்பட்டு தொடர்ந்து செயல்பட அனுமதிக்கிறது.

GitHub மற்றும் Steganography எவ்வாறு ஒரு காப்பு C2 ஆக மாறுகின்றன

தாக்குபவர்கள் பொது GitHub களஞ்சியங்களில் படங்களுக்குள் உள்ளமைவுத் துளிகளை வைக்கின்றனர். ட்ரோஜன் அதன் முதன்மை C2 சேவையகங்களை அடைய முடியாதபோது, அது அந்தப் படக் கோப்புகளிலிருந்து புதுப்பிக்கப்பட்ட உள்ளமைவுத் தரவை இழுக்கிறது - நன்கு அறியப்பட்ட குறியீடு-ஹோஸ்டிங் தளத்தை ஒரு மீள் காப்பு விநியோக சேனலாக மாற்றுகிறது. தரவு படங்களுக்குள் மறைக்கப்பட்டுள்ளதால், அது சாதாரண போக்குவரத்து மற்றும் களஞ்சியங்களில் கலக்கிறது மற்றும் கண்டறிதல் மற்றும் தரமிறக்குதலை மிகவும் சிக்கலாக்குகிறது. பாதுகாப்பு குழுக்கள் மைக்ரோசாப்ட்-க்குச் சொந்தமான தளத்துடன் இணைந்து குற்றமிழைக்கும் களஞ்சியங்களை அகற்றின, இது பிரச்சாரத்தை தற்காலிகமாக சீர்குலைத்தது, ஆனால் வடிவமைப்பு எதிர்கால தரமிறக்குதல்களை எதிர்க்கும் தெளிவான நோக்கத்தைக் காட்டுகிறது.

புவியியல் கவனம் மற்றும் முந்தைய செயல்பாடு

தற்போதைய பிரச்சாரம் முதன்மையாக பிரேசிலில் குவிந்துள்ளது, இருப்பினும் அஸ்டரோத் வரலாற்று ரீதியாக மெக்ஸிகோ, உருகுவே, அர்ஜென்டினா, பராகுவே, சிலி, பொலிவியா, பெரு, ஈக்வடார், கொலம்பியா, வெனிசுலா மற்றும் பனாமா உள்ளிட்ட பரந்த அளவிலான லத்தீன் அமெரிக்க நாடுகளை குறிவைக்கிறது. இது முந்தைய அஸ்டரோத் செயல்பாட்டுடன் ஒத்துப்போகிறது: ஆராய்ச்சியாளர்கள் ஜூலை மற்றும் அக்டோபர் 2024 இல் தொடர்புடைய கிளஸ்டர்களை (PINEAPPLE மற்றும் Water Makara என கண்காணிக்கப்பட்டது) கொடியிட்டனர், அவை ஒரே குடும்ப தீம்பொருளைப் பரப்ப ஃபிஷிங் கவர்ச்சிகளைப் பயன்படுத்தின.

தொற்று சங்கிலி

தாக்குதல் பொதுவாக ஒரு இணைப்பைக் கொண்ட DocuSign-கருப்பொருள் ஃபிஷிங் செய்தியுடன் தொடங்குகிறது. அந்த இணைப்பு விண்டோஸ் குறுக்குவழியை (.lnk) கொண்ட ஒரு ZIP ஐ வழங்குகிறது. LNK ஐத் திறப்பது வெளிப்புறமாக ஹோஸ்ட் செய்யப்பட்ட சேவையகங்களிலிருந்து கூடுதல் ஜாவாஸ்கிரிப்டைப் பெறும் ஒரு தெளிவற்ற ஜாவாஸ்கிரிப்ட் ஸ்டப்பைத் தொடங்குகிறது. பெறப்பட்ட ஜாவாஸ்கிரிப்ட், பல கடின-குறியிடப்பட்ட சேவையகங்களில் ஒன்றிலிருந்து பல கோப்புகளைப் பதிவிறக்குகிறது. அந்தக் கோப்புகளில் ஜாவாஸ்கிரிப்ட் பேலோடால் செயல்படுத்தப்படும் ஒரு ஆட்டோஇட் ஸ்கிரிப்ட் உள்ளது; ஆட்டோஇட் ஸ்கிரிப்ட் ஷெல்கோடை ஏற்றி இயக்குகிறது, இது பின்னர் டெல்பி அடிப்படையிலான DLL ஐ ஏற்றுகிறது. அந்த DLL அஸ்டாரோத் பேலோடை டிக்ரிப்ட் செய்து புதிதாக உருவாக்கப்பட்ட RegSvc.exe செயல்முறையில் செலுத்துகிறது - வரிசைப்படுத்தலை நிறைவு செய்கிறது.

பாதிக்கப்பட்ட ஹோஸ்ட்களில் அஸ்டரோத் என்ன செய்கிறது

அஸ்டாரோத் டெல்பியில் செயல்படுத்தப்படுகிறது மற்றும் பயனர்களின் வலை செயல்பாட்டைக் கண்காணிக்க வடிவமைக்கப்பட்டுள்ளது, வங்கி மற்றும் கிரிப்டோகரன்சி தொடர்பான வலைத்தளங்களுக்கான வருகைகளில் கவனம் செலுத்துகிறது. இது ஒவ்வொரு நொடியும் செயலில் உள்ள உலாவி சாளரத்தைச் சரிபார்க்கிறது; இலக்கு வைக்கப்பட்ட வங்கி அல்லது கிரிப்டோ தளத்தைக் கண்டறியும்போது, விசை அழுத்தங்களைப் பிடிக்கவும் சான்றுகளை சேகரிக்கவும் விசைப்பலகை நிகழ்வுகளை இணைக்கிறது. ட்ரோஜன் திருடப்பட்ட தரவை Ngrok தலைகீழ்-ப்ராக்ஸி சுரங்கப்பாதையைப் பயன்படுத்தி தாக்குபவர்களுக்கு மீண்டும் அனுப்புகிறது, இது நேரடி C2 இணைப்பு தடைசெய்யப்பட்டிருந்தாலும் கூட வெளியேற்றத்தை அனுமதிக்கிறது.

கவனிக்கப்பட்ட இலக்குகளின் எடுத்துக்காட்டுகள்

தீம்பொருளால் கண்காணிக்கப்படும் வங்கி மற்றும் கிரிப்டோ தொடர்பான தளங்களின் தொகுப்பை ஆராய்ச்சியாளர்கள் பட்டியலிட்டனர்:

• caixa.gov.br
• சஃப்ரா.காம்.பிஆர்
• இட்டாவ்.காம்.பிஆர்
• bancooriginal.com.br
• சாண்டாண்டர்நெட்.காம்.ப்ர
• btgpactual.com (பி.டி.ஜி.பி.ஏ.டி.)
• ஈதர்ஸ்கேன்.ஐஓ
• பைனான்ஸ்.காம்
• பிட்காயின்ட்ரேட்.காம்.பிஆர்
• மெட்டாமாஸ்க்.ஐஓ
• ஃபாக்ஸ்பிட்.காம்.பிஆர்
• லோக்கல்பிட்காயின்ஸ்.காம்

பகுப்பாய்வு எதிர்ப்பு திறன்கள்

அஸ்டாரோத்தில் ஏராளமான பகுப்பாய்வு எதிர்ப்பு நுட்பங்கள் உள்ளன. இது மெய்நிகராக்கம், முன்மாதிரி, பிழைத்திருத்தம் மற்றும் பொதுவான பகுப்பாய்வு கருவிகளுக்கான சூழலை ஆராய்கிறது (எடுத்துக்காட்டுகளில் QEMU விருந்தினர் முகவர், ஹூக்எக்ஸ்ப்ளோரர், IDA Pro, நோய் எதிர்ப்பு சக்தி பிழைத்திருத்தம், PE கருவிகள், WinDbg, வயர்ஷார்க் மற்றும் ஒத்த கருவிகள் அடங்கும்) மேலும் அத்தகைய கருவிகள் கண்டறியப்பட்டால் தானாகவே முடிவடையும். இந்த சோதனைகள் டைனமிக் பகுப்பாய்வு மற்றும் சாண்ட்பாக்ஸிங்கை பாதுகாவலர்களுக்கு மிகவும் கடினமாக்குகின்றன.

நிலைத்தன்மை, ஜியோஃபென்சிங் மற்றும் இருப்பிடச் சரிபார்ப்புகள்

நிலைத்தன்மையைத் தக்கவைக்க, பிரச்சாரம் விண்டோஸ் ஸ்டார்ட்அப் கோப்புறையில் ஒரு குறுக்குவழியைக் கைவிடுகிறது, இது மறுதொடக்கத்தில் ஆட்டோஇட் ஸ்கிரிப்டை செயல்படுத்துகிறது, இது தீம்பொருள் தானாகவே மீண்டும் தொடங்குவதை உறுதி செய்கிறது. தொற்று சங்கிலியில் ஜியோஃபென்சிங் அடங்கும்: LNK ஆல் பெறப்பட்ட ஆரம்ப URL பிராந்தியத்தின் அடிப்படையில் குறிவைக்கப்படுகிறது, மேலும் தீம்பொருள் கணினி இருப்பிடத்தையும் சரிபார்க்கிறது - இது ஆங்கிலம்/அமெரிக்கா உள்ளூர்மயமாக்கல்களுக்கு அமைக்கப்பட்ட இயந்திரங்களில் இயங்குவதைத் தவிர்க்கிறது. இந்த பாதுகாப்புகள் அதன் பாதிக்கப்பட்ட சுயவிவரத்தைக் குறைத்து தற்செயலான வெளிப்பாட்டைக் குறைக்கின்றன.

செயல்பாட்டு தாக்கம்

ரகசிய உள்ளமைவு புதுப்பிப்புகளை ஹோஸ்ட் செய்ய GitHub ஐ தவறாகப் பயன்படுத்துவதன் மூலம், ஆபரேட்டர்கள் Astaroth க்காக இலகுரக, அகற்றுவதற்கு கடினமான காப்புப்பிரதி சேனலை உருவாக்கினர். ஆராய்ச்சியாளர்கள் மைக்ரோசாப்ட் நிறுவனத்திற்குச் சொந்தமான தளத்துடன் இணைந்து தீங்கிழைக்கும் களஞ்சியங்களை அகற்றினர், இது பிரச்சாரத்தை தற்காலிகமாக சீர்குலைத்தது. ஃபால்பேக்கிற்கான முறையான சேவைகளைப் பயன்படுத்துவது, C2 வேட்டையின் ஒரு பகுதியாக கிளவுட் மற்றும் குறியீடு-ஹோஸ்டிங் தளங்களின் துஷ்பிரயோகத்தை பாதுகாவலர்கள் கண்காணிக்க வேண்டியதன் அவசியத்தை நிரூபிக்கிறது.

சுருக்கம்

இந்த பிரச்சாரம், பாதுகாவலர்கள் கருத்தில் கொள்ள வேண்டிய இரண்டு போக்குகளை எடுத்துக்காட்டுகிறது: (1) அச்சுறுத்தல் நடிகர்கள் மரியாதைக்குரிய மூன்றாம் தரப்பு தளங்களை மீள்தன்மை உள்கட்டமைப்பாக அதிகளவில் பயன்படுத்துகின்றனர் மற்றும் (2) நவீன தீம்பொருள் பல ஸ்கிரிப்டிங் மற்றும் தொகுக்கப்பட்ட கூறுகளை (ஜாவாஸ்கிரிப்ட் → ஆட்டோஇட் → ஷெல்கோட் → டெல்பி டிஎல்எல்) கலந்து பகுப்பாய்வு மற்றும் நிலைத்தன்மை நீக்கத்தை சிக்கலாக்குகிறது. கிட்ஹப் அடிப்படையிலான உள்ளமைவு ஃபால்பேக், இலக்கு வைக்கப்பட்ட ஜியோஃபென்சிங், வலுவான பகுப்பாய்வு எதிர்ப்பு சோதனைகள் மற்றும் உலாவி செயல்பாட்டு கண்காணிப்பு ஆகியவற்றின் கலவையானது அஸ்டரோத்தை குறிப்பாக மீள்தன்மை கொண்ட மற்றும் தனியுரிமை-ஆக்கிரமிப்பு வங்கி ட்ரோஜானாக ஆக்குகிறது. ஃபிஷிங் கவர்ச்சிகளுக்கு எதிரான விழிப்புணர்வு, அசாதாரண கிட்ஹப் பட செயல்பாட்டை கண்காணித்தல் மற்றும் பல-நிலை சங்கிலியைக் கண்டறியும் வலுவான எண்ட்பாயிண்ட் கண்டறிதல் ஆகியவை தொற்றுநோய்களைக் கண்டறிந்து சீர்குலைப்பதற்கு முக்கியமாகும்.