多许可证折扣报价
威胁数据库 银行木马 Astaroth银行木马

Astaroth银行木马

通过Mezo银行木马
翻译为:

网络安全研究人员发现了一个新攻击活动,该活动正在传播 Astaroth 银行木马,该木马故意利用合法服务作为后备,以躲过被清除的命运。攻击者不再仅仅依赖防御者可以定位和破坏的传统命令与控制 (C2) 服务器,而是将恶意软件配置数据托管在 GitHub 上,并通过隐写术将其嵌入到图像中——这使得恶意软件即使在基础设施被控制或禁用后也能恢复并继续运行。

GitHub 和隐写术如何成为备份 C2

攻击者将配置 blob 放入公共 GitHub 存储库的镜像中。当该木马无法访问其主 C2 服务器时,它会从这些镜像文件中提取更新的配置数据——这实际上将一个知名的代码托管平台变成了一个弹性备份传输通道。由于数据隐藏在镜像中,它会混入正常的流量和存储库中,使检测和删除变得更加复杂。安全团队与微软旗下的平台合作,删除了有问题的存储库,这暂时扰乱了攻击活动,但这种设计明显是为了抵御未来的删除。

地理重点和先前活动

当前的攻击活动主要集中在巴西,尽管 Astaroth 过去曾针对广泛的拉丁美洲国家,包括墨西哥、乌拉圭、阿根廷、巴拉圭、智利、玻利维亚、秘鲁、厄瓜多尔、哥伦比亚、委内瑞拉和巴拿马。这与 Astaroth 早期的活动一致:研究人员在 2024 年 7 月和 10 月标记了相关集群(追踪为 PINEAPPLE 和 Water Makara),它们使用网络钓鱼诱饵传播同一恶意软件家族。

感染链

攻击通常始于一条带有 DocuSign 主题的钓鱼邮件,其中包含一个链接。该链接会发送一个包含 Windows 快捷方式 (.lnk) 的 ZIP 文件。打开 LNK 文件会启动一个经过混淆的 JavaScript 存根,它会从外部托管的服务器获取额外的 JavaScript 代码。获取到的 JavaScript 代码会从多个硬编码服务器中的一个下载多个文件。这些文件中包含一个由 JavaScript 有效载荷执行的 AutoIt 脚本;该 AutoIt 脚本会加载并运行 Shellcode,然后加载一个基于 Delphi 的 DLL。该 DLL 会解密 Astaroth 有效载荷,并将其注入新创建的 RegSvc.exe 进程,从而完成部署。

Astaroth 对受感染主机的作用

Astaroth 使用 Delphi 实现,旨在监控用户的网络活动,尤其关注对银行和加密货币相关网站的访问。它每秒检查一次活动浏览器窗口;当检测到目标银行或加密货币网站时,它会挂钩键盘事件以捕获按键并获取凭证。该木马使用 Ngrok 反向代理隧道将窃取的数据传回攻击者,即使在直接 C2 连接受限的情况下也能实现数据泄露。

观察目标示例

研究人员列出了一系列被恶意软件监控的银行和加密相关网站:

  • caixa.gov.br
  • safra.com.br
  • itau.com.br
  • bancooriginal.com.br
  • santandernet.com.br
  • btgpactual.com
  • etherscan.io
  • binance.com
  • bitcointrade.com.br
  • metamask.io
  • foxbit.com.br
  • localbitcoins.com

反分析能力

Astaroth 包含多种反分析技术。它会探测环境中是否存在虚拟化、仿真、调试和常用分析工具(例如 QEMU Guest Agent、HookExplorer、IDA Pro、Immunity Debugger、PE Tools、WinDbg、Wireshark 等工具),并在检测到此类工具时自行终止。这些检查使防御者进行动态分析和沙盒攻击更加困难。

持久性、地理围栏和区域设置检查

为了保持持久性,该恶意活动会在 Windows 启动文件夹中放置一个快捷方式,该快捷方式会在 Windows 重启时调用 AutoIt 脚本,确保恶意软件自动重新启动。感染链包含地理围栏:LNK 获取的初始 URL 会根据地区进行定位,并且恶意软件还会验证系统语言环境——避免在设置为英语/美国语言环境的计算机上运行。这些安全措施缩小了受害者范围,并减少了意外暴露的风险。

运营影响

通过滥用 GitHub 托管隐秘的配置更新,运营者为 Astaroth 创建了一个轻量级、难以被攻破的备份通道。研究人员与微软旗下的 GitHub 平台合作,移除了恶意代码库,从而暂时中断了攻击活动。使用合法服务进行回退表明,防御者在 C2 追踪过程中需要监控云和代码托管平台的滥用情况。

概括

此次攻击活动凸显了防御者必须考虑的两个趋势:(1) 威胁行为者越来越多地使用受信任的第三方平台作为弹性基础设施;(2) 现代恶意软件混合了多种脚本和编译组件(JavaScript → AutoIt → Shellcode → Delphi DLL),使分析和持久性移除变得复杂。基于 GitHub 的配置回退、有针对性的地理围栏、强大的反分析检查以及浏览器活动监控,使得 Astaroth 成为一种极具弹性且侵犯隐私的银行木马。警惕网络钓鱼诱饵、监控异常的 GitHub 镜像活动以及能够识别多阶段攻击链的强大端点检测是检测和阻止感染的关键。

趋势

您的邮箱版本将停止使用骗局

网络钓鱼, 垃圾邮件
网络诈骗者不断开发新伎俩来欺骗用户并窃取宝贵数据。“您的邮箱版本将停用”骗局就是一个例子,这是一种网络钓鱼活动,旨在从毫无戒心的受害者那里获取登录凭据。网络安全专家警告说,这些欺诈信息与任何合法公司、组织或服务提供商均无关联。 伪装成服务警报的欺骗性电子邮件 诈骗始于一封精心设计的电子邮件,伪装成来自信誉良好的电子邮件服务提供商。该邮件警告收件人,他们的邮箱版本即将停用,如果不迅速采取行动,他们的电子邮件帐户将被停用或关闭。该邮件通常提及服务协议或隐私政策的变更,并带有一个标有“继续使用新版本”的按钮。 虽然这些信息乍一看很真实,但其实完全是捏造的。诈骗者的目的是煽动恐慌和紧迫感,迫使用户毫不犹豫地点击恶意链接。 陷阱:欺诈性登录页面 当受害者点击该按钮时,他们会被重定向到一个与合法登录页面完美模仿的虚假 Gmail...

最受关注

如何修复“打印机驱动程序不可用”错误

问题
54,014
打印机因拒绝在用户最需要的时候完成工作而臭名昭著。幸运的是,如果您的打印机显示“打印机驱动程序不可用”错误,那么有几个简单的解决方案可以解决该问题。此特定错误可能是由损坏的驱动程序文件、过时的驱动程序或驱动程序不兼容引起的。虽然使用 Microsoft 的通用驱动程序可以避免该问题,但我们想向您介绍其他解决方案。 更新打印机的驱动程序...

Discord 卡在灰色屏幕上

问题
40,914
有时,在使用 Discord 应用程序时,用户可能会卡在灰色屏幕上。在流式传输或简单地加载应用程序时可能会出现此问题。如果您遇到这种情况并且想知道如何解决它,请尝试以下解决方案。 在屏幕模式之间切换 如果原因是视觉故障而不是更严重的问题,从一种屏幕模式切换到另一种屏幕模式,例如启用全屏模式或较小的屏幕选项,可以解决问题。按键盘上的 Ctrl+A 看看它是否有任何效果。 删除 Discord...
Discord 在共享屏幕时显示黑屏截图

Discord 在共享屏幕时显示黑屏

问题
39,628
首次推出时,Discord 是一个面向游戏社区的 VoIP 平台。然而,在接下来的几年里,它扩大了范围,增加了许多新功能,并成为最大的社交平台之一,每月活跃用户超过 1.4 亿。目前,用户可以发送私人即时消息、启动 VoIP 和视频通话、流式传输他们的计算机屏幕,并组织以特定兴趣为中心的称为服务器的社区。 毫无疑问,快速轻松地开始共享计算机屏幕的能力是吸引人们使用 Discord...
正在加载...