Банківський троян Astaroth
Дослідники з кібербезпеки виявили нову кампанію, що поширює банківського трояна Astaroth, який навмисно використовує легітимні сервіси як резервний варіант для виживання після блокування. Замість того, щоб покладатися виключно на традиційні сервери командування та управління (C2), які захисники можуть знайти та зруйнувати, оператори розміщують дані конфігурації шкідливого програмного забезпечення на GitHub та вбудовують їх у образи за допомогою стеганографії, що дозволяє шкідливому програмному забезпеченню відновлюватися та продовжувати роботу навіть після захоплення або виведення інфраструктури з ладу.
Зміст
Як GitHub та стеганографія стають резервним C2
Зловмисники розміщують конфігураційні блоби всередині образів на публічних репозиторіях GitHub. Коли троян не може дістатися до своїх основних C2-серверів, він витягує оновлені дані конфігурації з цих файлів образів, фактично перетворюючи відому платформу для розміщення коду на стійкий канал доставки резервного копіювання. Оскільки дані приховані всередині образів, вони змішуються зі звичайним трафіком і репозиторіями, що ускладнює виявлення та видалення. Команди безпеки працювали з платформою, що належить Microsoft, щоб видалити шкідливі репозиторії, що тимчасово порушило кампанію, але дизайн демонструє чіткий намір протистояти майбутнім видаленням.
Географічний фокус та попередня діяльність
Поточна кампанія зосереджена переважно в Бразилії, хоча Astaroth історично націлена на широкий спектр країн Латинської Америки, включаючи Мексику, Уругвай, Аргентину, Парагвай, Чилі, Болівію, Перу, Еквадор, Колумбію, Венесуелу та Панаму. Це узгоджується з попередньою активністю Astaroth: дослідники виявили пов'язані кластери (відстежувані як PINEAPPLE та Water Makara) у липні та жовтні 2024 року, які використовували фішингові приманки для розповсюдження того ж сімейства шкідливих програм.
Ланцюг інфекції
Атака зазвичай починається з фішингового повідомлення на тему DocuSign, що містить посилання. Це посилання містить ZIP-архів із ярликом Windows (.lnk). Відкриття LNK запускає обфускований JavaScript-заглушку, яка отримує додатковий JavaScript із зовнішніх серверів. Отриманий JavaScript, у свою чергу, завантажує кілька файлів з одного з кількох жорстко закодованих серверів. Серед цих файлів є скрипт AutoIt, що виконується корисним навантаженням JavaScript; скрипт AutoIt завантажує та запускає шелл-код, який потім завантажує DLL на основі Delphi. Ця DLL розшифровує корисне навантаження Astaroth та вставляє його в щойно створений процес RegSvc.exe, завершуючи розгортання.
Що робить Астарот на заражених хостах
Astaroth реалізовано на Delphi та призначено для моніторингу веб-активності користувачів, зосереджуючись на відвідуваннях банківських та криптовалютних веб-сайтів. Він перевіряє активне вікно браузера щосекунди; коли виявляє цільовий банківський або крипто-сайт, він перехоплює події клавіатури для фіксації натискань клавіш та збору облікових даних. Троян передає викрадені дані назад зловмисникам за допомогою зворотного проксі-тунелю Ngrok, що дозволяє здійснювати вилучення навіть за обмеженого прямого з'єднання C2.
Приклади спостережуваних цілей
Дослідники перерахували низку банківських та крипто-пов’язаних сайтів, які, як спостерігалося, контролювало шкідливе програмне забезпечення:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
Можливості антианалізу
Astaroth включає численні методи антианалізу. Він досліджує середовище на наявність інструментів віртуалізації, емуляції, налагодження та поширених інструментів аналізу (приклади включають QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark та подібні інструменти) та завершує свою роботу, якщо такі інструменти виявляються. Ці перевірки ускладнюють динамічний аналіз та пісочницю для захисників.
Перевірки стійкості, геозонування та локалізації
Для забезпечення стійкості кампанія розміщує ярлик у папці автозавантаження Windows, який викликає скрипт AutoIt під час перезавантаження, забезпечуючи автоматичний перезапуск шкідливого програмного забезпечення. Ланцюг зараження включає геозонування: початкова URL-адреса, отримана LNK, визначається регіоном, а шкідливе програмне забезпечення також перевіряє локаль системи — воно уникає запуску на комп’ютерах з англійською/американською локалізацією. Ці запобіжні заходи звужують профіль жертви та зменшують випадкове зараження.
Операційний вплив
Зловживаючи GitHub для розміщення прихованих оновлень конфігурації, оператори створили легкий, важкодоступний резервний канал для Astaroth. Дослідники координували свої дії з платформою, що належить Microsoft, для видалення шкідливих репозиторіїв, що тимчасово перервало кампанію. Використання легітимних сервісів для резервного відновлення демонструє необхідність для захисників відстежувати зловживання хмарними платформами та платформами для розміщення коду в рамках полювання на C2.
Короткий зміст
Ця кампанія висвітлює дві тенденції, які захисники повинні враховувати: (1) зловмисники все частіше використовують шановані сторонні платформи як стійку інфраструктуру та (2) сучасне шкідливе програмне забезпечення поєднує кілька скриптів та скомпільованих компонентів (JavaScript → AutoIt → шеллкод → Delphi DLL), щоб ускладнити аналіз та видалення персистентних даних. Поєднання резервного варіанту конфігурації на основі GitHub, цільового геозонування, надійних антианалізних перевірок та моніторингу активності браузера робить Astaroth особливо стійким банківським трояном, що порушує конфіденційність. Пильність до фішингових приманок, моніторинг незвичайної активності зображень GitHub та надійне виявлення кінцевих точок, яке виявляє багатоетапний ланцюжок, є ключовими для виявлення та припинення інфекцій.
