Astaroth Banking Trojan

Natukoy ng mga mananaliksik sa cybersecurity ang isang bagong campaign na naghahatid ng Astaroth banking trojan na sadyang gumagamit ng mga lehitimong serbisyo bilang isang fallback para makaligtas sa mga takedown. Sa halip na umasa lamang sa mga tradisyunal na Command-and-Control (C2) na server na maaaring mahanap at maabala ng mga tagapagtanggol, ang mga operator ay nagho-host ng data ng configuration ng malware sa GitHub at ini-embed ito sa mga larawan sa pamamagitan ng steganography — nagbibigay-daan sa malware na mabawi at magpatuloy sa paggana kahit na matapos ang imprastraktura ay nasamsam o na-disable.

Paano Naging Backup C2 ang GitHub At Steganography

Ang mga umaatake ay naglalagay ng mga configuration blobs sa loob ng mga larawan sa mga pampublikong GitHub repository. Kapag hindi maabot ng Trojan ang mga pangunahing C2 server nito, kinukuha nito ang na-update na data ng configuration mula sa mga file ng imaheng iyon — epektibong ginagawang isang nababanat na backup na channel sa paghahatid ang isang kilalang platform ng pagho-host ng code. Dahil nakatago ang data sa loob ng mga larawan, nagsasama ito sa normal na trapiko at mga repositoryo at ginagawang mas kumplikado ang pagtuklas at pagtanggal. Nakipagtulungan ang mga security team sa platform na pagmamay-ari ng Microsoft upang alisin ang mga nakakasakit na repo, na pansamantalang nakagambala sa campaign, ngunit ang disenyo ay nagpapakita ng malinaw na layunin na labanan ang mga pagtatanggal sa hinaharap.

Geographic na Pokus At Naunang Aktibidad

Ang kasalukuyang kampanya ay pangunahing nakatuon sa Brazil, bagama't ang kasaysayan ay tina-target ng Astaroth ang isang malawak na hanay ng mga bansa sa Latin America, kabilang ang Mexico, Uruguay, Argentina, Paraguay, Chile, Bolivia, Peru, Ecuador, Colombia, Venezuela, at Panama. Naaayon ito sa naunang aktibidad ng Astaroth: nag-flag ang mga mananaliksik ng mga nauugnay na cluster (sinusubaybayan bilang PINEAPPLE at Water Makara) noong Hulyo at Oktubre 2024 na gumamit ng mga phishing lure upang ipamahagi ang parehong pamilya ng malware.

Ang Infection Chain

Karaniwang nagsisimula ang pag-atake sa isang mensahe ng phishing na may temang DocuSign na naglalaman ng link. Ang link na iyon ay naghahatid ng ZIP na naglalaman ng Windows shortcut (.lnk). Ang pagbubukas ng LNK ay naglulunsad ng obfuscated JavaScript stub na kumukuha ng karagdagang JavaScript mula sa mga external na naka-host na server. Ang kinuhang JavaScript naman ay nagda-download ng maraming file mula sa isa sa ilang mga hard-coded na server. Kabilang sa mga file na iyon ay isang AutoIt script na pinaandar ng JavaScript payload; ang AutoIt script ay naglo-load at nagpapatakbo ng shellcode, na pagkatapos ay naglo-load ng Delphi-based na DLL. Ang DLL na iyon ay nagde-decrypt ng Astaroth payload at ini-inject ito sa isang bagong likhang proseso ng RegSvc.exe — kumpletuhin ang deployment.

Ano ang Ginagawa ng Astaroth Sa Mga Infected Host

Ang Astaroth ay ipinatupad sa Delphi at idinisenyo upang subaybayan ang aktibidad sa web ng mga user, na nakatuon sa mga pagbisita sa mga website na nauugnay sa pagbabangko at cryptocurrency. Sinusuri nito ang aktibong window ng browser bawat segundo; kapag naka-detect ito ng naka-target na banking o crypto site, ikinakabit nito ang mga event sa keyboard para makuha ang mga keystroke at umani ng mga kredensyal. Ang trojan ay nagpapadala ng ninakaw na data pabalik sa mga umaatake gamit ang isang Ngrok reverse-proxy tunnel, na nagpapahintulot sa pag-exfiltration kahit na ang direktang koneksyon sa C2 ay pinaghihigpitan.

Mga Halimbawa Ng Naobserbahang Target

Inilista ng mga mananaliksik ang isang hanay ng mga site na may kaugnayan sa pagbabangko at crypto na naobserbahang sinusubaybayan ng malware:

• caixa.gov.br
• safra.com.br
• itau.com.br
• bancooriginal.com.br
• santandernet.com.br
• btgpactual.com
• etherscan.io
• binance.com
• bitcointrade.com.br
• metamask.io
• foxbit.com.br
• localbitcoins.com

Mga Kakayahang Anti-analysis

Kasama sa Astaroth ang maraming mga diskarte sa anti-analysis. Sinusuri nito ang kapaligiran para sa virtualization, emulation, debugging at mga karaniwang tool sa pagsusuri (kabilang sa mga halimbawa ang QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark at mga katulad na tool) at wawakasan ang sarili nito kung matukoy ang mga naturang tool. Ang mga pagsusuring ito ay nagpapahirap sa dynamic na pagsusuri at sandboxing para sa mga tagapagtanggol.

Pagtitiyaga, Geofencing, At Mga Pagsusuri sa Lokal

Upang mapanatili ang pagtitiyaga, nag-drop ang campaign ng isang shortcut sa folder ng Windows Startup na humihiling sa AutoIt script sa pag-reboot, na tinitiyak na awtomatikong muling ilulunsad ang malware. Kasama sa chain ng impeksyon ang geofencing: ang paunang URL na kinukuha ng LNK ay tina-target ayon sa rehiyon, at bini-verify din ng malware ang locale ng system — iniiwasan nitong tumakbo sa mga machine na nakatakda sa mga lokal na English/United States. Ang mga pananggalang na ito ay nagpapaliit sa profile ng biktima nito at binabawasan ang aksidenteng pagkakalantad.

Epekto sa Operasyon

Sa pamamagitan ng pag-abuso sa GitHub upang mag-host ng mga nakatagong update sa configuration, ang mga operator ay lumikha ng isang magaan, mahirap tanggalin na backup na channel para sa Astaroth. Nakipagtulungan ang mga mananaliksik sa platform na pag-aari ng Microsoft upang alisin ang mga nakakahamak na repository, na pansamantalang nakagambala sa kampanya. Ang paggamit ng mga lehitimong serbisyo para sa fallback ay nagpapakita ng pangangailangan para sa mga tagapagtanggol na subaybayan ang pang-aabuso sa cloud at code-hosting platform bilang bahagi ng C2 hunting.

Buod

Itinatampok ng campaign na ito ang dalawang trend na dapat isaalang-alang ng mga defender: (1) ang mga banta na aktor ay lalong gumagamit ng mga iginagalang na platform ng third-party bilang nababanat na imprastraktura at (2) pinagsasama ng modernong malware ang maraming script at pinagsama-samang mga bahagi (JavaScript → AutoIt → shellcode → Delphi DLL) upang gawing kumplikado ang pagsusuri at pag-aalis ng pagtitiyaga. Ang kumbinasyon ng fallback ng configuration na nakabatay sa GitHub, naka-target na geofencing, malakas na pagsusuri sa anti-analysis, at pagsubaybay sa aktibidad ng browser ay ginagawang isang partikular na nababanat at privacy-invasive banking trojan ang Astaroth. Ang pagbabantay laban sa mga pang-akit sa phishing, pagsubaybay para sa hindi pangkaraniwang aktibidad ng imahe ng GitHub, at mahusay na pagtukoy sa endpoint na nakikita ang multi-stage chain ay susi sa pag-detect at pag-abala sa mga impeksyon.