Astaroth銀行木馬

網路安全研究人員發現了一個新攻擊活動，該活動正在傳播 Astaroth 銀行木馬，該木馬故意利用合法服務作為後備，以躲過被清除的命運。攻擊者不再僅僅依賴防禦者可以定位和破壞的傳統命令與控制 (C2) 伺服器，而是將惡意軟體設定資料託管在 GitHub 上，並透過隱寫術將其嵌入到映像中——這使得惡意軟體即使在基礎設施被控製或停用後也能恢復並繼續運行。

GitHub 和隱寫術如何成為備份 C2

攻擊者將配置 blob 放入公共 GitHub 儲存庫的映像中。當該木馬無法存取其主 C2 伺服器時，它會從這些鏡像檔案中提取更新的設定資料——這實際上將一個知名的程式碼託管平台變成了一個彈性備份傳輸通道。由於資料隱藏在鏡像中，它會混入正常的流量和儲存庫中，使偵測和刪除變得更加複雜。安全團隊與微軟旗下的平台合作，刪除了有問題的儲存庫，這暫時擾亂了攻擊活動，但這種設計明顯是為了抵禦未來的刪除。

地理重點和先前活動

目前的攻擊活動主要集中在巴西，儘管 Astaroth 過去曾針對廣泛的拉丁美洲國家，包括墨西哥、烏拉圭、阿根廷、巴拉圭、智利、玻利維亞、秘魯、厄瓜多、哥倫比亞、委內瑞拉和巴拿馬。這與 Astaroth 早期的活動一致：研究人員在 2024 年 7 月和 10 月標記了相關集群（追蹤為 PINEAPPLE 和 Water Makara），它們使用網路釣魚誘餌傳播同一惡意軟體家族。

感染鏈

攻擊通常始於一封帶有 DocuSign 主題的釣魚郵件，其中包含一個連結。此連結會傳送一個包含 Windows 捷徑 (.lnk) 的 ZIP 檔案。開啟 LNK 檔案會啟動一個經過混淆的 JavaScript 存根，它會從外部託管的伺服器取得額外的 JavaScript 程式碼。取得到的 JavaScript 程式碼會從多個硬編碼伺服器中的一個下載多個檔案。這些檔案中包含一個由 JavaScript 有效載荷執行的 AutoIt 腳本；該 AutoIt 腳本會載入並執行 Shellcode，然後載入一個基於 Delphi 的 DLL。此 DLL 會解密 Astaroth 有效載荷，並將其註入新建立的 RegSvc.exe 進程，從而完成部署。

Astaroth 對受感染主機的作用

Astaroth 使用 Delphi 實現，旨在監控用戶的網路活動，尤其關注對銀行和加密貨幣相關網站的存取。它每秒檢查一次活動瀏覽器視窗；當偵測到目標銀行或加密貨幣網站時，它會掛鉤鍵盤事件以捕獲按鍵並取得憑證。該木馬使用 Ngrok 反向代理隧道將竊取的資料傳回攻擊者，即使在直接 C2 連線受限的情況下也能實現資料外洩。

觀察目標範例

研究人員列出了一系列被惡意軟體監控的銀行和加密相關網站：

• caixa.gov.br
• safra.com.br
• itau.com.br
• bancooriginal.com.br
• santandernet.com.br
• btgpactual.com
• etherscan.io
• binance.com
• bitcointrade.com.br
• metamask.io
• foxbit.com.br
• localbitcoins.com

反分析能力

Astaroth 包含多種反分析技術。它會探測環境中是否存在虛擬化、模擬、調試和常用分析工具（例如 QEMU Guest Agent、HookExplorer、IDA Pro、Immunity Debugger、PE Tools、WinDbg、Wireshark 等工具），並在偵測到此類工具時自行終止。這些檢查使防御者進行動態分析和沙盒攻擊更加困難。

持久性、地理圍欄和區域設置檢查

為了保持持久性，該惡意活動會在 Windows 啟動資料夾中放置一個快捷方式，該捷徑會在 Windows 重新啟動時呼叫 AutoIt 腳本，確保惡意軟體自動重新啟動。感染鏈包含地理圍欄：LNK 取得的初始 URL 會根據地區進行定位，且惡意軟體還會驗證系統語言環境—避免在設定為英語/美國語言環境的電腦上執行。這些安全措施縮小了受害者範圍，並減少了意外暴露的風險。

營運影響

透過濫用 GitHub 託管隱密的設定更新，營運商為 Astaroth 創建了一個輕量級、難以被攻破的備份通道。研究人員與微軟旗下的 GitHub 平台合作，移除了惡意程式碼庫，從而暫時中斷了攻擊活動。使用合法服務進行回退表明，防禦者在 C2 追蹤過程中需要監控雲端和程式碼託管平台的濫用。

概括

這次攻擊活動凸顯了防禦者必須考慮的兩個趨勢：(1) 威脅行為者越來越多地使用受信任的第三方平台作為彈性基礎設施；(2) 現代惡意軟體混合了多種腳本和編譯元件（JavaScript → AutoIt → Shellcode → Delphi DLL），使分析和持久性移除變得複雜。基於 GitHub 的配置回退、有針對性的地理圍欄、強大的反分析檢查以及瀏覽器活動監控，使得 Astaroth 成為一種極具彈性且侵犯隱私的銀行木馬。警惕網路釣魚誘餌、監控異常的 GitHub 鏡像活動以及能夠識別多階段攻擊鏈的強大端點偵測是偵測和阻止感染的關鍵。