Банковский троян Astaroth эволюционировал, разработав устойчивую к сбоям инфраструктуру для выживания даже после ликвидации его основных серверов. Исследователи McAfee Labs, Харшил Патель и Прабуд Чакраворти, обнаружили, что злоумышленники используют легитимную платформу для хостинга кода GitHub в качестве резервной командно-контрольной (C2) инфраструктуры, что значительно усложняет борьбу с вредоносной программой.
Ключевая тактика заключается в использовании стеганографии для сокрытия конфигурационных данных. Злоумышленники встраивают файлы с новыми инструкциями для трояна непосредственно в изображения, размещенные в репозиториях на GitHub. Такой подход позволяет им «прятать информацию на самом видном месте», поскольку файлы выглядят как обычные изображения, не вызывая подозрений у систем безопасности. Когда основные C2-серверы отключаются, Astaroth обращается к GitHub, извлекает обновленную конфигурацию из изображений и продолжает свою вредоносную деятельность.
Текущая кампания нацелена преимущественно на пользователей в Бразилии, однако ее география охватывает и другие страны Латинской Америки, включая Мексику, Уругвай, Аргентину, Парагвай, Чили, Боливию, Перу, Эквадор, Колумбию, Венесуэлу и Панаму. Атака начинается с фишингового электронного письма, замаскированного под уведомление от сервиса электронных подписей DocuSign.
Письмо содержит ссылку, по которой загружается заархивированный файл ярлыка Windows (.lnk). Этот файл содержит обфусцированный JavaScript-код. При запуске ярлыка скрипт подключается к внешнему серверу и загружает дополнительный JavaScript-модуль, который, в свою очередь, скачивает с жестко закодированных серверов все необходимые компоненты для полной установки трояна Astaroth в системе.
Сам троян написан на языке Delphi, а его основная функция — кража учетных данных методом кейлоггинга. Каждую секунду вредоносная программа отслеживает заголовок активного окна браузера. Если заголовок совпадает с названием одного из целевых сайтов банков или криптовалютных бирж, Astaroth перехватывает события клавиатуры и записывает все нажатия клавиш.
В список целей Astaroth входят крупные бразильские банки, такие как
Собранная информация, включая логины и пароли, отправляется злоумышленникам через сервис обратного прокси Ngrok. Для обеспечения скрытности Astaroth оснащен механизмами противодействия анализу. Программа автоматически завершает свою работу при обнаружении таких инструментов, как эмуляторы QEMU Guest Agent, отладчики IDA Pro, ImmunityDebugger, WinDbg, а также утилиты для анализа, такие как HookExplorer, PE Tools и Wireshark.
Для закрепления в системе Astaroth создает LNK-файл в папке автозагрузки Windows. Этот ярлык запускает скрипт AutoIT, который обеспечивает автоматический запуск вредоносной программы при каждой перезагрузке операционной системы. Кроме того, троян использует геоблокировку: он проверяет языковые настройки системы и не запускается, если используется английский язык или регион США.
Текущая активность является продолжением предыдущих кампаний, зафиксированных в июле и октябре 2024 года. Ранее о деятельности групп, распространяющих Astaroth, предупреждали Google (кластер PINEAPPLE) и Trend Micro (кластер Water Makara). В тех кампаниях также использовались фишинговые письма для атак на пользователей в Бразилии.
В результате расследования McAfee Labs, проведенного в сотрудничестве с GitHub (дочерней компанией Microsoft), вредоносные репозитории были удалены. Эта мера позволила временно нейтрализовать операции Astaroth, которые полагались на данную резервную инфраструктуру.
Изображение носит иллюстративный характер
Ключевая тактика заключается в использовании стеганографии для сокрытия конфигурационных данных. Злоумышленники встраивают файлы с новыми инструкциями для трояна непосредственно в изображения, размещенные в репозиториях на GitHub. Такой подход позволяет им «прятать информацию на самом видном месте», поскольку файлы выглядят как обычные изображения, не вызывая подозрений у систем безопасности. Когда основные C2-серверы отключаются, Astaroth обращается к GitHub, извлекает обновленную конфигурацию из изображений и продолжает свою вредоносную деятельность.
Текущая кампания нацелена преимущественно на пользователей в Бразилии, однако ее география охватывает и другие страны Латинской Америки, включая Мексику, Уругвай, Аргентину, Парагвай, Чили, Боливию, Перу, Эквадор, Колумбию, Венесуэлу и Панаму. Атака начинается с фишингового электронного письма, замаскированного под уведомление от сервиса электронных подписей DocuSign.
Письмо содержит ссылку, по которой загружается заархивированный файл ярлыка Windows (.lnk). Этот файл содержит обфусцированный JavaScript-код. При запуске ярлыка скрипт подключается к внешнему серверу и загружает дополнительный JavaScript-модуль, который, в свою очередь, скачивает с жестко закодированных серверов все необходимые компоненты для полной установки трояна Astaroth в системе.
Сам троян написан на языке Delphi, а его основная функция — кража учетных данных методом кейлоггинга. Каждую секунду вредоносная программа отслеживает заголовок активного окна браузера. Если заголовок совпадает с названием одного из целевых сайтов банков или криптовалютных бирж, Astaroth перехватывает события клавиатуры и записывает все нажатия клавиш.
В список целей Astaroth входят крупные бразильские банки, такие как
caixa.gov[.]br, safra.com[.]br, itau.com[.]br, bancooriginal.com[.]br, santandernet.com[.]br и btgpactual[.]com. Кроме того, троян нацелен на пользователей популярных криптовалютных платформ, включая etherscan[.]io, binance[.]com, bitcointrade.com[.]br, metamask[.]io, foxbit.com[.]br и localbitcoins[.]com. Собранная информация, включая логины и пароли, отправляется злоумышленникам через сервис обратного прокси Ngrok. Для обеспечения скрытности Astaroth оснащен механизмами противодействия анализу. Программа автоматически завершает свою работу при обнаружении таких инструментов, как эмуляторы QEMU Guest Agent, отладчики IDA Pro, ImmunityDebugger, WinDbg, а также утилиты для анализа, такие как HookExplorer, PE Tools и Wireshark.
Для закрепления в системе Astaroth создает LNK-файл в папке автозагрузки Windows. Этот ярлык запускает скрипт AutoIT, который обеспечивает автоматический запуск вредоносной программы при каждой перезагрузке операционной системы. Кроме того, троян использует геоблокировку: он проверяет языковые настройки системы и не запускается, если используется английский язык или регион США.
Текущая активность является продолжением предыдущих кампаний, зафиксированных в июле и октябре 2024 года. Ранее о деятельности групп, распространяющих Astaroth, предупреждали Google (кластер PINEAPPLE) и Trend Micro (кластер Water Makara). В тех кампаниях также использовались фишинговые письма для атак на пользователей в Бразилии.
В результате расследования McAfee Labs, проведенного в сотрудничестве с GitHub (дочерней компанией Microsoft), вредоносные репозитории были удалены. Эта мера позволила временно нейтрализовать операции Astaroth, которые полагались на данную резервную инфраструктуру.
