Trojan ngân hàng Astaroth

Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch mới phát tán trojan ngân hàng Astaroth, cố tình sử dụng các dịch vụ hợp pháp làm phương án dự phòng để tồn tại sau khi bị triệt phá. Thay vì chỉ dựa vào các máy chủ C2 (Command-and-Control) truyền thống mà các bên bảo vệ có thể định vị và phá hoại, những kẻ điều hành đang lưu trữ dữ liệu cấu hình phần mềm độc hại trên GitHub và nhúng nó vào hình ảnh thông qua kỹ thuật ẩn mã - cho phép phần mềm độc hại phục hồi và tiếp tục hoạt động ngay cả sau khi cơ sở hạ tầng bị chiếm giữ hoặc vô hiệu hóa.

GitHub và Steganography trở thành C2 dự phòng như thế nào?

Kẻ tấn công đặt các blob cấu hình bên trong hình ảnh trên các kho lưu trữ GitHub công khai. Khi Trojan không thể tiếp cận máy chủ C2 chính, nó sẽ lấy dữ liệu cấu hình đã cập nhật từ các tệp hình ảnh đó — về cơ bản biến một nền tảng lưu trữ mã nguồn nổi tiếng thành một kênh phân phối sao lưu linh hoạt. Vì dữ liệu được ẩn bên trong hình ảnh, nó có thể hòa nhập vào lưu lượng truy cập và kho lưu trữ thông thường, khiến việc phát hiện và gỡ bỏ trở nên phức tạp hơn. Các nhóm bảo mật đã làm việc với nền tảng do Microsoft sở hữu để gỡ bỏ các kho lưu trữ vi phạm, điều này đã tạm thời làm gián đoạn chiến dịch, nhưng thiết kế cho thấy rõ ràng ý định chống lại các cuộc gỡ bỏ trong tương lai.

Trọng tâm địa lý và hoạt động trước đây

Chiến dịch hiện tại tập trung chủ yếu ở Brazil, mặc dù Astaroth trước đây nhắm mục tiêu đến một loạt các quốc gia Mỹ Latinh, bao gồm Mexico, Uruguay, Argentina, Paraguay, Chile, Bolivia, Peru, Ecuador, Colombia, Venezuela và Panama. Điều này phù hợp với hoạt động trước đó của Astaroth: các nhà nghiên cứu đã đánh dấu các cụm liên quan (được theo dõi là PINEAPPLE và Water Makara) vào tháng 7 và tháng 10 năm 2024, sử dụng các chiêu trò lừa đảo để phát tán cùng một họ phần mềm độc hại.

Chuỗi lây nhiễm

Cuộc tấn công thường bắt đầu bằng một tin nhắn lừa đảo có chủ đề DocuSign chứa một liên kết. Liên kết đó sẽ gửi một tệp ZIP chứa một lối tắt Windows (.lnk). Việc mở LNK sẽ khởi chạy một đoạn mã JavaScript được mã hóa, đoạn mã này sẽ lấy thêm JavaScript từ các máy chủ lưu trữ bên ngoài. JavaScript được lấy sẽ tải xuống nhiều tệp từ một trong số các máy chủ được mã hóa cứng. Trong số các tệp đó có một tập lệnh AutoIt được thực thi bởi tải trọng JavaScript; tập lệnh AutoIt tải và chạy shellcode, sau đó tải một DLL dựa trên Delphi. DLL đó giải mã tải trọng Astaroth và đưa nó vào một tiến trình RegSvc.exe mới được tạo — hoàn tất quá trình triển khai.

Astaroth làm gì trên máy chủ bị nhiễm

Astaroth được triển khai trong Delphi và được thiết kế để theo dõi hoạt động web của người dùng, tập trung vào các lượt truy cập vào các trang web liên quan đến ngân hàng và tiền điện tử. Nó kiểm tra cửa sổ trình duyệt đang hoạt động mỗi giây; khi phát hiện trang web ngân hàng hoặc tiền điện tử mục tiêu, nó sẽ móc nối các sự kiện bàn phím để ghi lại các lần nhấn phím và thu thập thông tin đăng nhập. Trojan này truyền dữ liệu bị đánh cắp trở lại cho kẻ tấn công bằng đường hầm proxy ngược Ngrok, cho phép trích xuất dữ liệu ngay cả khi kết nối C2 trực tiếp bị hạn chế.

Ví dụ về các mục tiêu được quan sát

Các nhà nghiên cứu đã liệt kê một loạt các trang web liên quan đến ngân hàng và tiền điện tử được phát hiện đang bị phần mềm độc hại theo dõi:

• caixa.gov.br
• safra.com.br
• itau.com.br
• bancooriginal.com.br
• santandernet.com.br
• btgpactual.com
• etherscan.io
• binance.com
• bitcointrade.com.br
• metamask.io
• foxbit.com.br
• localbitcoins.com

Khả năng chống phân tích

Astaroth bao gồm nhiều kỹ thuật chống phân tích. Nó dò tìm môi trường ảo hóa, mô phỏng, gỡ lỗi và các công cụ phân tích phổ biến (ví dụ bao gồm QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark và các công cụ tương tự) và sẽ tự động kết thúc nếu phát hiện các công cụ đó. Những kiểm tra này khiến việc phân tích động và áp dụng sandbox trở nên khó khăn hơn đối với các bên bảo vệ.

Kiểm tra tính bền bỉ, ranh giới địa lý và vị trí

Để duy trì tính dai dẳng, chiến dịch này thả một lối tắt vào thư mục Khởi động Windows, kích hoạt tập lệnh AutoIt khi khởi động lại, đảm bảo phần mềm độc hại tự động khởi chạy lại. Chuỗi lây nhiễm bao gồm hàng rào địa lý: URL ban đầu được LNK truy xuất sẽ được nhắm mục tiêu theo khu vực, và phần mềm độc hại cũng xác minh ngôn ngữ hệ thống — nó tránh chạy trên các máy tính được đặt ngôn ngữ tiếng Anh/Hoa Kỳ. Các biện pháp bảo vệ này thu hẹp danh sách nạn nhân và giảm thiểu khả năng bị phát hiện vô tình.

Tác động hoạt động

Bằng cách lợi dụng GitHub để lưu trữ các bản cập nhật cấu hình ẩn, các nhà điều hành đã tạo ra một kênh sao lưu nhẹ, khó gỡ bỏ cho Astaroth. Các nhà nghiên cứu đã phối hợp với nền tảng thuộc sở hữu của Microsoft để xóa các kho lưu trữ độc hại, điều này đã tạm thời làm gián đoạn chiến dịch. Việc sử dụng các dịch vụ hợp pháp để dự phòng cho thấy nhu cầu giám sát việc lạm dụng các nền tảng lưu trữ đám mây và mã nguồn như một phần của hoạt động săn tìm C2 (C2 hunting).

Bản tóm tắt

Chiến dịch này nhấn mạnh hai xu hướng mà các nhà bảo vệ cần cân nhắc: (1) kẻ tấn công ngày càng sử dụng các nền tảng của bên thứ ba uy tín làm cơ sở hạ tầng bền vững và (2) phần mềm độc hại hiện đại kết hợp nhiều thành phần mã lệnh và biên dịch (JavaScript → AutoIt → shellcode → Delphi DLL) để làm phức tạp việc phân tích và loại bỏ mã độc tồn tại dai dẳng. Sự kết hợp giữa cấu hình dự phòng dựa trên GitHub, hàng rào địa lý được nhắm mục tiêu, kiểm tra chống phân tích mạnh mẽ và giám sát hoạt động của trình duyệt khiến Astaroth trở thành một trojan ngân hàng đặc biệt bền vững và xâm phạm quyền riêng tư. Việc cảnh giác với các mồi nhử lừa đảo, giám sát hoạt động bất thường trên hình ảnh GitHub và phát hiện điểm cuối mạnh mẽ giúp phát hiện chuỗi lây nhiễm nhiều giai đoạn là chìa khóa để phát hiện và ngăn chặn lây nhiễm.