Как банковский троян Astaroth использует GitHub, чтобы стать неуязвимым?

Банковский троян Astaroth эволюционировал, разработав устойчивую к сбоям инфраструктуру для выживания даже после ликвидации его основных серверов. Исследователи McAfee Labs, Харшил Патель и Прабуд Чакраворти, обнаружили, что злоумышленники используют легитимную платформу для хостинга кода GitHub в качестве резервной командно-контрольной (C2) инфраструктуры, что значительно усложняет борьбу с вредоносной программой.
Как банковский троян Astaroth использует GitHub, чтобы стать неуязвимым?
Изображение носит иллюстративный характер

Ключевая тактика заключается в использовании стеганографии для сокрытия конфигурационных данных. Злоумышленники встраивают файлы с новыми инструкциями для трояна непосредственно в изображения, размещенные в репозиториях на GitHub. Такой подход позволяет им «прятать информацию на самом видном месте», поскольку файлы выглядят как обычные изображения, не вызывая подозрений у систем безопасности. Когда основные C2-серверы отключаются, Astaroth обращается к GitHub, извлекает обновленную конфигурацию из изображений и продолжает свою вредоносную деятельность.

Текущая кампания нацелена преимущественно на пользователей в Бразилии, однако ее география охватывает и другие страны Латинской Америки, включая Мексику, Уругвай, Аргентину, Парагвай, Чили, Боливию, Перу, Эквадор, Колумбию, Венесуэлу и Панаму. Атака начинается с фишингового электронного письма, замаскированного под уведомление от сервиса электронных подписей DocuSign.

Письмо содержит ссылку, по которой загружается заархивированный файл ярлыка Windows (.lnk). Этот файл содержит обфусцированный JavaScript-код. При запуске ярлыка скрипт подключается к внешнему серверу и загружает дополнительный JavaScript-модуль, который, в свою очередь, скачивает с жестко закодированных серверов все необходимые компоненты для полной установки трояна Astaroth в системе.

Сам троян написан на языке Delphi, а его основная функция — кража учетных данных методом кейлоггинга. Каждую секунду вредоносная программа отслеживает заголовок активного окна браузера. Если заголовок совпадает с названием одного из целевых сайтов банков или криптовалютных бирж, Astaroth перехватывает события клавиатуры и записывает все нажатия клавиш.

В список целей Astaroth входят крупные бразильские банки, такие как caixa.gov[.]br, safra.com[.]br, itau.com[.]br, bancooriginal.com[.]br, santandernet.com[.]br и btgpactual[.]com. Кроме того, троян нацелен на пользователей популярных криптовалютных платформ, включая etherscan[.]io, binance[.]com, bitcointrade.com[.]br, metamask[.]io, foxbit.com[.]br и localbitcoins[.]com.

Собранная информация, включая логины и пароли, отправляется злоумышленникам через сервис обратного прокси Ngrok. Для обеспечения скрытности Astaroth оснащен механизмами противодействия анализу. Программа автоматически завершает свою работу при обнаружении таких инструментов, как эмуляторы QEMU Guest Agent, отладчики IDA Pro, ImmunityDebugger, WinDbg, а также утилиты для анализа, такие как HookExplorer, PE Tools и Wireshark.

Для закрепления в системе Astaroth создает LNK-файл в папке автозагрузки Windows. Этот ярлык запускает скрипт AutoIT, который обеспечивает автоматический запуск вредоносной программы при каждой перезагрузке операционной системы. Кроме того, троян использует геоблокировку: он проверяет языковые настройки системы и не запускается, если используется английский язык или регион США.

Текущая активность является продолжением предыдущих кампаний, зафиксированных в июле и октябре 2024 года. Ранее о деятельности групп, распространяющих Astaroth, предупреждали Google (кластер PINEAPPLE) и Trend Micro (кластер Water Makara). В тех кампаниях также использовались фишинговые письма для атак на пользователей в Бразилии.

В результате расследования McAfee Labs, проведенного в сотрудничестве с GitHub (дочерней компанией Microsoft), вредоносные репозитории были удалены. Эта мера позволила временно нейтрализовать операции Astaroth, которые полагались на данную резервную инфраструктуру.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка