Банковский троянец Astaroth использует GitHub для повышения устойчивости

Атака начинается с фишинговых писем, тематика которых варьируется от уведомлений DocuSign до рассылки резюме. Сообщения содержат ссылки на загрузку ZIP-архива с файлом Windows Shortcut (LNK), который при запуске инициирует сложную цепочку заражения. Особенностью является географическое ограничение доступа - ссылки активны только для пользователей из целевых регионов.

После выполнения LNK-файла запускается обфусцированный JavaScript-код, который загружает основной набор компонентов. В их числе - скомпилированный скрипт AutoIT, интерпретатор AutoIT и зашифрованные полезные нагрузки. Для выполнения шеллкода скрипт модифицирует API LocalCompact в kernel32.dll, что позволяет загрузить в память Delphi-библиотеку, ответственную за расшифровку и инъекцию финального payload.

Основной модуль Astaroth написан на Delphi и использует комплексные методы противодействия анализу. Он проверяет наличие инструментов исследования в системе и автоматически завершает работу при обнаружении признаков анализа. Дополнительной проверкой является определение системного языка - троянец не активируется на системах с английской локалью или локализацией для США.

Ключевой функциональностью является мониторинг активных окон браузеров. При обнаружении банковских или криптовалютных сайтов троянец активирует перехват клавиатурных событий. Среди целевых ресурсов замечены бразильские банки (caixa.gov.br, itau.com.br) и криптоплатформы (binance.com, metamask.io).

Особенностью данной кампании стало использование GitHub в качестве резервной инфраструктуры. Каждые два часа троянец проверяет доступность основных серверов управления. При их недоступности он загружает изображения из GitHub-репозиториев, используя стеганографию для извлечения конфигурационных данных. Это обеспечивает непрерывность работы даже после блокировки основных каналов управления.

Для обеспечения персистентности Astaroth создает LNK-файл в папке автозагрузки Windows, который запускает цепочку заражения при каждой перезагрузке системы. Собранные данные передаются через бинарный протокол на серверы управления с использованием Ngrok reverse proxy.

Географический охват кампании преимущественно сосредоточен в Бразилии, хотя троянец технически способен атаковать пользователей в других странах Южной Америки, а также в Португалии и Италии.

Компания McAfee сотрудничала с GitHub для идентификации и удаления зловредных репозиториев, что позволило временно нарушить операционную деятельность группировки. Однако данный случай демонстрирует растущую тенденцию использования легитимных облачных сервисов для повышения устойчивости вредоносных инфраструктур.

Эксперты по безопасности рекомендуют пользователям соблюдать базовые правила кибергигиены: не переходить по ссылкам из непроверенных источников, использовать двухфакторную аутентификацию для финансовых сервисов и поддерживать антивирусное ПО в актуальном состоянии. Для организаций важность приобретает мониторинг необычной активности, связанной с доступом к облачным платформам и сервисам разработки.

Domains

• blojannindor0.trovaodoceara.motorcycles
• brusar.trovaodoceara.autos
• clafenval.medicarium.help
• frecil.medicinatramp.beauty
• gluminal188.trovaodoceara.sbs
• gramgunvel.medicoassocidos.beauty
• scrivinlinfer.medicinatramp.icu
• sprudiz.medicinatramp.click
• stroal.medicoassocidos.beauty
• strosonvaz.medicoassocidos.help
• trisinsil.medicesterium.help

Domain Port Combinations

• 1.tcp.sa.ngrok.io:20262
• 1.tcp.us-cal-1.ngrok.io:24521
• 5.tcp.ngrok.io:22934
• 7.tcp.ngrok.io:22426
• 9.tcp.ngrok.io:23955
• 9.tcp.ngrok.io:24080

URLs

• https://91.220.167.72.host.secureserver.net/peHg4yDUYgzNeAvm5.zip
• https://bit.ly/49mKne9
• https://bit.ly/4gf4E7H
• https://github.com/balancinho1/balaco
• https://github.com/Config2023/01atk-83567z
• https://github.com/dridex2024/razeronline
• https://github.com/fernandolopes201/675878fvfsv2231im2
• https://github.com/polarbearfish/fishbom
• https://github.com/polarbearultra/amendointorrado
• https://github.com/projetonovo52/master
• https://github.com/S20x/m25
• https://github.com/Tami1010/base
• https://github.com/vaicurintha/gol
• https://raw.githubusercontent.com/dridex2024/razeronline/refs/heads/main/razerlimpa.png

SHA256

• 049849998f2d4dd1e629d46446699f15332daa54530a5dad5f35cc8904adea43
• 11f0d7e18f9a2913d2480b6a6955ebc92e40434ad11bed62d1ff81ddd3dda945
• 251cde68c30c7d303221207370c314362f4adccdd5db4533a67bedc2dc1e6195
• 28515ea1ed7befb39f428f046ba034d92d44a075cc7a6f252d6faf681bdba39c
• 34207fbffcb38ed51cd469d082c0c518b696bac4eb61e5b191a141b5459669df
• 7418ffa31f8a51a04274fc8f610fa4d5aa5758746617020ee57493546ae35b70
• 7609973939b46fe13266eacd1f06b533f8991337d6334c15ab78e28fa3b320be
• a235d2e44ea87e5764c66247e80a1c518c38a7395291ce7037f877a968c7b42b
• db9d00f30e7df4d0cf10cee8c49ee59a6b2e518107fd6504475e99bbcf6cce34