అస్టారోత్ బ్యాంకింగ్ ట్రోజన్

సైబర్ సెక్యూరిటీ పరిశోధకులు అస్టారోత్ బ్యాంకింగ్ ట్రోజన్‌ను అందించే తాజా ప్రచారాన్ని గుర్తించారు, ఇది తొలగింపులను తట్టుకుని నిలబడటానికి ఉద్దేశపూర్వకంగా చట్టబద్ధమైన సేవలను ఫాల్‌బ్యాక్‌గా ఉపయోగిస్తుంది. డిఫెండర్లు గుర్తించి అంతరాయం కలిగించగల సాంప్రదాయ కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌లపై మాత్రమే ఆధారపడకుండా, ఆపరేటర్లు GitHubలో మాల్వేర్ కాన్ఫిగరేషన్ డేటాను హోస్ట్ చేస్తున్నారు మరియు స్టెగానోగ్రఫీ ద్వారా చిత్రాలలో దానిని పొందుపరుస్తున్నారు - మౌలిక సదుపాయాలు స్వాధీనం చేసుకున్న తర్వాత లేదా నిలిపివేయబడిన తర్వాత కూడా మాల్వేర్ కోలుకోవడానికి మరియు పనిచేయడం కొనసాగించడానికి అనుమతిస్తుంది.

GitHub మరియు స్టెగానోగ్రఫీ బ్యాకప్ C2 ఎలా అవుతాయి

దాడి చేసేవారు పబ్లిక్ GitHub రిపోజిటరీలలో చిత్రాల లోపల కాన్ఫిగరేషన్ బ్లాబ్‌లను ఉంచుతారు. ట్రోజన్ దాని ప్రాథమిక C2 సర్వర్‌లను చేరుకోలేనప్పుడు, అది ఆ ఇమేజ్ ఫైల్‌ల నుండి నవీకరించబడిన కాన్ఫిగరేషన్ డేటాను లాగుతుంది - ఇది ప్రసిద్ధ కోడ్-హోస్టింగ్ ప్లాట్‌ఫామ్‌ను స్థితిస్థాపక బ్యాకప్ డెలివరీ ఛానెల్‌గా సమర్థవంతంగా మారుస్తుంది. డేటా చిత్రాల లోపల దాగి ఉన్నందున, ఇది సాధారణ ట్రాఫిక్ మరియు రిపోజిటరీలలో కలిసిపోతుంది మరియు గుర్తింపు మరియు తొలగింపును మరింత క్లిష్టతరం చేస్తుంది. ప్రచారానికి తాత్కాలికంగా అంతరాయం కలిగించిన అభ్యంతరకరమైన రెపోలను తొలగించడానికి భద్రతా బృందాలు మైక్రోసాఫ్ట్ యాజమాన్యంలోని ప్లాట్‌ఫామ్‌తో కలిసి పనిచేశాయి, అయితే డిజైన్ భవిష్యత్తులో తొలగింపులను నిరోధించాలనే స్పష్టమైన ఉద్దేశ్యాన్ని చూపిస్తుంది.

భౌగోళిక దృష్టి మరియు ముందస్తు కార్యాచరణ

ప్రస్తుత ప్రచారం ప్రధానంగా బ్రెజిల్‌లో కేంద్రీకృతమై ఉంది, అయితే అస్టారోత్ చారిత్రాత్మకంగా మెక్సికో, ఉరుగ్వే, అర్జెంటీనా, పరాగ్వే, చిలీ, బొలీవియా, పెరూ, ఈక్వెడార్, కొలంబియా, వెనిజులా మరియు పనామాతో సహా విస్తృత శ్రేణి లాటిన్ అమెరికన్ దేశాలను లక్ష్యంగా చేసుకుంది. ఇది మునుపటి అస్టారోత్ కార్యకలాపాలకు అనుగుణంగా ఉంది: పరిశోధకులు జూలై మరియు అక్టోబర్ 2024లో సంబంధిత క్లస్టర్‌లను (PINEAPPLE మరియు Water Makaraగా ట్రాక్ చేయబడ్డాయి) ఫ్లాగ్ చేశారు, ఇవి ఒకే కుటుంబ మాల్వేర్‌ను పంపిణీ చేయడానికి ఫిషింగ్ ఎరలను ఉపయోగించాయి.

ఇన్ఫెక్షన్ గొలుసు

దాడి సాధారణంగా లింక్‌ను కలిగి ఉన్న DocuSign-నేపథ్య ఫిషింగ్ సందేశంతో ప్రారంభమవుతుంది. ఆ లింక్ Windows షార్ట్‌కట్ (.lnk) కలిగి ఉన్న జిప్‌ను అందిస్తుంది. LNKని తెరవడం వలన బాహ్యంగా హోస్ట్ చేయబడిన సర్వర్‌ల నుండి అదనపు జావాస్క్రిప్ట్‌ను పొందే అస్పష్టమైన జావాస్క్రిప్ట్ స్టబ్ ప్రారంభమవుతుంది. పొందిన జావాస్క్రిప్ట్ అనేక హార్డ్-కోడెడ్ సర్వర్‌లలో ఒకదాని నుండి బహుళ ఫైల్‌లను డౌన్‌లోడ్ చేస్తుంది. ఆ ఫైళ్లలో జావాస్క్రిప్ట్ పేలోడ్ ద్వారా అమలు చేయబడిన ఆటోఇట్ స్క్రిప్ట్ ఉంది; ఆటోఇట్ స్క్రిప్ట్ షెల్‌కోడ్‌ను లోడ్ చేసి అమలు చేస్తుంది, ఇది డెల్ఫీ-ఆధారిత DLLను లోడ్ చేస్తుంది. ఆ DLL అస్టారోత్ పేలోడ్‌ను డీక్రిప్ట్ చేస్తుంది మరియు దానిని కొత్తగా సృష్టించబడిన RegSvc.exe ప్రక్రియలోకి ఇంజెక్ట్ చేస్తుంది - విస్తరణను పూర్తి చేస్తుంది.

సోకిన అతిధేయలపై అస్టరోత్ ఏమి చేస్తుంది

అస్టారోత్ డెల్ఫీలో అమలు చేయబడింది మరియు బ్యాంకింగ్ మరియు క్రిప్టోకరెన్సీ సంబంధిత వెబ్‌సైట్‌లకు సందర్శనలపై దృష్టి సారించి, వినియోగదారుల వెబ్ కార్యకలాపాలను పర్యవేక్షించడానికి రూపొందించబడింది. ఇది ప్రతి సెకనుకు యాక్టివ్ బ్రౌజర్ విండోను తనిఖీ చేస్తుంది; ఇది లక్ష్యంగా చేసుకున్న బ్యాంకింగ్ లేదా క్రిప్టో సైట్‌ను గుర్తించినప్పుడు, కీస్ట్రోక్‌లను సంగ్రహించడానికి మరియు ఆధారాలను సేకరించడానికి కీబోర్డ్ ఈవెంట్‌లను హుక్ చేస్తుంది. ట్రోజన్ దొంగిలించబడిన డేటాను Ngrok రివర్స్-ప్రాక్సీ టన్నెల్ ఉపయోగించి దాడి చేసేవారికి తిరిగి ప్రసారం చేస్తుంది, ఇది ప్రత్యక్ష C2 కనెక్టివిటీ పరిమితం చేయబడినప్పుడు కూడా నిష్క్రియాత్మకతను అనుమతిస్తుంది.

పరిశీలించిన లక్ష్యాల ఉదాహరణలు

మాల్వేర్ ద్వారా పర్యవేక్షించబడుతున్న బ్యాంకింగ్ మరియు క్రిప్టో-సంబంధిత సైట్‌ల సమితిని పరిశోధకులు జాబితా చేశారు:

• కైక్సా.గోవ్.బ్ర
• సఫ్రా.కామ్.బ్ర
• ఇటౌ.కామ్.బ్ర
• bancooriginal.com.br
• శాంటాండర్నెట్.కామ్.బ్ర
• btgpactual.com ద్వారా
• ఈథర్స్కాన్.ఐఓ
• బైనన్స్.కామ్
• బిట్‌కాయిన్‌ట్రేడ్.కామ్.బ్ర
• మెటామాస్క్.ఐఓ
• ఫాక్స్‌బిట్.కామ్.బ్ర
• లోకల్‌బిట్‌కాయిన్స్.కామ్

విశ్లేషణ వ్యతిరేక సామర్థ్యాలు

అస్టారోత్‌లో అనేక యాంటీ-ఎనాలిసిస్ టెక్నిక్‌లు ఉన్నాయి. ఇది వర్చువలైజేషన్, ఎమ్యులేషన్, డీబగ్గింగ్ మరియు సాధారణ విశ్లేషణ సాధనాల కోసం పర్యావరణాన్ని పరిశీలిస్తుంది (ఉదాహరణలలో QEMU గెస్ట్ ఏజెంట్, హుక్‌ఎక్స్‌ప్లోరర్, IDA ప్రో, ఇమ్యునిటీ డీబగ్గర్, PE టూల్స్, WinDbg, వైర్‌షార్క్ మరియు ఇలాంటి సాధనాలు ఉన్నాయి) మరియు అలాంటి సాధనాలు గుర్తించబడితే స్వయంగా ముగుస్తుంది. ఈ తనిఖీలు డిఫెండర్లకు డైనమిక్ విశ్లేషణ మరియు శాండ్‌బాక్సింగ్‌ను మరింత కష్టతరం చేస్తాయి.

నిలకడ, జియోఫెన్సింగ్ మరియు లొకేల్ తనిఖీలు

నిలకడను కొనసాగించడానికి, ప్రచారం విండోస్ స్టార్టప్ ఫోల్డర్‌లోకి షార్ట్‌కట్‌ను జారవిడుచుకుంటుంది, ఇది రీబూట్ చేసినప్పుడు ఆటోఇట్ స్క్రిప్ట్‌ను ప్రేరేపిస్తుంది, మాల్వేర్ స్వయంచాలకంగా తిరిగి ప్రారంభించబడుతుందని నిర్ధారిస్తుంది. ఇన్ఫెక్షన్ గొలుసులో జియోఫెన్సింగ్ ఉంటుంది: LNK ద్వారా పొందిన ప్రారంభ URL ప్రాంతం వారీగా లక్ష్యంగా ఉంటుంది మరియు మాల్వేర్ సిస్టమ్ లొకేల్‌ను కూడా ధృవీకరిస్తుంది - ఇది ఇంగ్లీష్/యునైటెడ్ స్టేట్స్ లొకేల్‌లకు సెట్ చేయబడిన యంత్రాలపై పనిచేయకుండా చేస్తుంది. ఈ రక్షణలు దాని బాధితుల ప్రొఫైల్‌ను కుదించాయి మరియు ప్రమాదవశాత్తు బహిర్గతం తగ్గిస్తాయి.

కార్యాచరణ ప్రభావం

రహస్య కాన్ఫిగరేషన్ నవీకరణలను హోస్ట్ చేయడానికి GitHub ను దుర్వినియోగం చేయడం ద్వారా, ఆపరేటర్లు Astaroth కోసం తేలికైన, తొలగించడానికి కష్టతరమైన బ్యాకప్ ఛానెల్‌ను సృష్టించారు. హానికరమైన రిపోజిటరీలను తొలగించడానికి పరిశోధకులు Microsoft యాజమాన్యంలోని ప్లాట్‌ఫామ్‌తో సమన్వయం చేసుకున్నారు, ఇది ప్రచారాన్ని తాత్కాలికంగా అంతరాయం కలిగించింది. ఫాల్‌బ్యాక్ కోసం చట్టబద్ధమైన సేవలను ఉపయోగించడం C2 వేటలో భాగంగా క్లౌడ్ మరియు కోడ్-హోస్టింగ్ ప్లాట్‌ఫారమ్‌ల దుర్వినియోగాన్ని పర్యవేక్షించాల్సిన అవసరాన్ని ప్రదర్శిస్తుంది.

సారాంశం

ఈ ప్రచారం రక్షకులు పరిగణించవలసిన రెండు ధోరణులను హైలైట్ చేస్తుంది: (1) బెదిరింపు నటులు గౌరవనీయమైన మూడవ పక్ష ప్లాట్‌ఫారమ్‌లను స్థితిస్థాపక మౌలిక సదుపాయాలుగా ఎక్కువగా ఉపయోగిస్తున్నారు మరియు (2) ఆధునిక మాల్వేర్ విశ్లేషణ మరియు నిలకడ తొలగింపును క్లిష్టతరం చేయడానికి బహుళ స్క్రిప్టింగ్ మరియు సంకలనం చేయబడిన భాగాలను (జావాస్క్రిప్ట్ → ఆటోఇట్ → షెల్‌కోడ్ → డెల్ఫీ DLL) మిళితం చేస్తుంది. GitHub-ఆధారిత కాన్ఫిగరేషన్ ఫాల్‌బ్యాక్, టార్గెటెడ్ జియోఫెన్సింగ్, బలమైన యాంటీ-ఎనాలిసిస్ తనిఖీలు మరియు బ్రౌజర్ కార్యాచరణ పర్యవేక్షణ కలయిక Astarothను ప్రత్యేకంగా స్థితిస్థాపకంగా మరియు గోప్యతా-ఇన్వాసివ్ బ్యాంకింగ్ ట్రోజన్‌గా చేస్తుంది. ఫిషింగ్ ఎరలపై నిఘా, అసాధారణ GitHub ఇమేజ్ కార్యాచరణ కోసం పర్యవేక్షణ మరియు బహుళ-దశల గొలుసును గుర్తించే బలమైన ఎండ్‌పాయింట్ గుర్తింపు ఇన్‌ఫెక్షన్‌లను గుర్తించడంలో మరియు అంతరాయం కలిగించడంలో కీలకం.