Найти в Дзене
CISOCLUB - информационная безопасность
10,3 тыс подписчиков

Astaroth: банковский троян, .lnk-фишинг и стеганография на GitHub

2
3 мин
Оглавление

Astaroth — это сложный банковский троян, который эксперты называют серьёзной угрозой для пользователей в Южной Америке и ряде европейских стран. В отчёте описывается набор продуманных техник, позволяющих злоумышленникам получать доступ к учётным данным банков и криптовалютных сервисов и поддерживать управление вредоносным ПО даже при удалении отдельных элементов инфраструктуры.

Как происходит заражение

Первичный вектор проникновения — фишинг-письма, содержащие ссылку на архив с ярлыком Windows (.lnk). После запуска такой ярлык инициирует установку Astaroth и разворачивает механизм закрепления в системе.

  • Файл-ярлык (.lnk) помещается в архив и направляется жертве по почте;
  • После выполнения ярлыка происходит установка трояна и создание механизма автозапуска;
  • Для закрепления используется ярлык в папке автозагрузки и скрипт автозапуска, который обеспечивает повторный запуск при загрузке системы.

Ключевые технические особенности

Astaroth сочетает в себе множество приёмов обхода обнаружения и извлечения конфиденциальной информации:

  • Регистрация нажатий клавиш (keylogging) для сбора учётных данных при посещении банковских сайтов и сайтов с криптовалютами;
  • Передача похищенных данных злоумышленникам через службу обратного прокси Ngrok;
  • Хостинг конфигурационных файлов на платформе GitHub, что позволяет обновлять тактику без зависимости от собственных серверов C2;
  • Встраивание конфигурации в изображения с помощью стеганографии на GitHub, что затрудняет обнаружение и удаление рабочих параметров;
  • Хранение зашифрованной конфигурации в файле dump.log;
  • Реализация связи с инфраструктурой управления через пользовательские двоичные протоколы (C2), усложняющие идентификацию трафика;
  • Написан на Delphi и включает механизмы антианализа, в том числе самоуничтожение при обнаружении среды отладки.
«Широкое использование вредоносным ПО законных платформ, таких как GitHub, подчеркивает эволюционирующую тактику, используемую киберпреступниками для поддержания закрепления и уклонения от обнаружения во все более защищенной цифровой экосистеме.»

География атак

Astaroth целится преимущественно в страны Южной Америки, включая Бразилию, Аргентину и Колумбию, а также в некоторые европейские регионы — в отчёте упоминаются Португалия и Италия.

Реакция индустрии и устойчивость кампаний

Обнаружение кампании McAfee привело к сотрудничеству с GitHub и удалению ряда вредоносных репозиториев, что временно нарушило работу инфраструктуры Astaroth. Однако даже после удаления отдельных репозиториев троян способен продолжать функционировать за счёт извлечения конфигурации из альтернативных источников на платформе.

Последствия и рекомендации

Тактика Astaroth подчёркивает, что злоумышленники всё чаще используют легитимные сервисы для хранения и распространения такой информации, что усложняет традиционные подходы к защите. Практические шаги по снижению риска:

  • Не открывать вложения и архивы из непроверенных писем; особенно опасны файлы-ярлыки (.lnk);
  • Контролировать и ограничивать запуск скриптов и ярлыков, особенно при получении по электронной почте;
  • Регулярно обновлять антивирусные решения и использовать средства поведенческого анализа, способные обнаружить нетипичную активность keylogger’ов и нестандартные C2-соединения;
  • Внедрять многофакторную аутентификацию для банковских и криптовалютных сервисов;
  • Мониторить исходящий трафик на наличие соединений с прокси-сервисами, такими как Ngrok, и подозрительных доменов/репозиториев на GitHub;
  • Обеспечивать контроль целостности и мониторинг изменений в публичных и внутренних репозиториях, а также оперативно реагировать на инциденты.

Astaroth иллюстрирует текущую эволюцию киберугроз: злоумышленники комбинируют традиционные методы социальной инженерии с использованием легитимных облачных платформ и сложными техниками сокрытия, что требует от организаций гибких и многослойных мер защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Astaroth: банковский троян, .lnk-фишинг и стеганография на GitHub".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Взгляните на эти темы
IT (информационные технологии)
Смартфоны
Найти тему
Камеры и фототехника
Графические планшеты
Планшеты
Фитнес-трекеры
Электронные книги
Машинное обучение (Machine Learning)
Форум «Цифровые решения»
Гаджеты и электроника
Кибербезопасность
Умные часы
Игровые консоли
Колонки и аудиосистемы
VR-очки
Ноутбуки
Наушники
Нейронные сети (Neural Networks)
Социальные сети и мессенджеры
Технологии будущего
Кибербезопасность
25,6 тыс интересуются