Исследователи из Acronis Threat Research Unit (TRU) обнаружили, что вредоносная программа Astaroth (также известная как Guildma) продолжает активно развиваться, применяя новые методы для обхода современных систем защиты. Основной целью злоумышленников остаются финансовые учреждения в Латинской Америке, причем 91% зараженных систем приходится на Бразилию. Однако угроза не ограничивается одним регионом - следы активности Astaroth были замечены также в Европе и даже Японии.
Описание
Атаки начинаются с фишинговых писем, маскирующихся под официальные уведомления от DocuSign или другие документы, такие как резюме, налоговые декларации или бухгалтерские отчеты. После открытия вложенного файла запускается сложная цепочка действий, включающая выполнение JavaScript и AutoIt-скриптов, что в конечном итоге приводит к внедрению вредоносного кода в процессы системы.
Одной из ключевых особенностей Astaroth является использование стеганографии - скрытие данных в изображениях, например, в файле destacada-paisagens2.jpg, где исследователи обнаружили резервную конфигурацию с адресами командных серверов. Кроме того, зловред активно проверяет окружение на наличие признаков анализа, таких как запущенные отладчики или виртуальные машины, и немедленно завершает работу при их обнаружении.
По данным Acronis, помимо финансового сектора (12% атак), под удар попали производственные предприятия (27%) и IT-компании (18%). Эксперты отмечают, что авторы Astaroth постоянно обновляют список целей, добавляя новые организации, что свидетельствует о высокой адаптивности угрозы. Владельцам бизнеса и ИТ-специалистам рекомендуется усилить защиту от фишинга и регулярно обновлять системы безопасности.
Индикаторы компрометации
Domain Port Combinations
- 5.tcp.ngrok.io:22934
- 7.tcp.ngrok.io:22426
- 9.tcp.ngrok.io:23955
- 9.tcp.ngrok.io:24080
- tcp.sa.ngrok.io:20262
- tcp.sa.ngrok.io:22754
- tcp.us-cal-1.ngrok.io:24521
URLs
- https://bit.ly/3QhP2oI
- https://bit.ly/49mKne9
- https://bit.ly/4gf4E7H
- https://cli.re/kwbaDX
- https://i.postimg.cc/fRnxLLCy/destacada-paisagens2.jpg
- https://rebrand.ly/sthpo7e
MD5
- 0179f0ad93a73819880d20845cd527a3
- 52d7108a5c366d589fbb3ab319ee78a3
- 62acdb0765cf0a73bd4fedf7f11c3512
- 7338e4bb33360147ebbf92af29adf52d
- 73c0b62eb4474724b7294c8a08fa67b9
- 86517ea3d3ae9767f654bd417e990b1f
- 8894b28ebcd13b1b3a61fe6047eb6882
- 8c8a0a86fefa9747635108b7cd72a3b6
- 94c1f53880724609abe811b9b41f9807
- ba50eba9acac42db84718197dd10e0fd
- c153aee19f6c0f029611300752f6c0eb
- c790bc62e9d08c675b37f986b306ac7f
- dece8b727fab19363beb8624a98b4c98
- f12081c4e22fdada874685141b181e3d
- f14583e23da88954836852cbf7c1d0f4
