Cybersecurity-onderzoekers vestigen de aandacht op een nieuwe campagne die de Astaroth banktrojan die GitHub gebruikt als ruggengraat voor zijn activiteiten om veerkrachtig te blijven in het licht van het wegvallen van de infrastructuur.
“In plaats van uitsluitend te vertrouwen op traditionele command-and-control (C2)-servers die kunnen worden uitgeschakeld, maken deze aanvallers gebruik van GitHub-repository’s om malwareconfiguraties te hosten”, aldus McAfee Labs-onderzoekers Harshil Patel en Prabudh Chakravorty in een rapport.
“Wanneer wetshandhavings- of beveiligingsonderzoekers hun C2-infrastructuur afsluiten, haalt Astaroth eenvoudigweg nieuwe configuraties uit GitHub en blijft hij draaien.”
De activiteit is volgens het cyberbeveiligingsbedrijf voornamelijk gericht op Brazilië, hoewel bekend is dat de bankmalware zich richt op verschillende landen in Latijns-Amerika, waaronder Mexico, Uruguay, Argentinië, Paraguay, Chili, Bolivia, Peru, Ecuador, Colombia, Venezuela en Panama.
Dit is niet de eerste keer dat Astaroth-campagnes hun blik op Brazilië richten. In juli en oktober 2024 waarschuwden zowel Google als Trend Micro voor bedreigingsclusters genaamd PINEAPPLE en Water Makara die phishing-e-mails gebruikten om de malware te verspreiden.
De nieuwste aanvalsketen is niet anders, omdat deze ook begint met een phishing-e-mail met DocuSign-thema, die een link bevat waarmee een gecomprimeerd Windows-snelkoppelingsbestand (.lnk) wordt gedownload, dat, wanneer het wordt geopend, Astaroth op de getroffen host installeert.
Het LNK-bestand bevat versluierd JavaScript dat verantwoordelijk is voor het ophalen van extra JavaScript van een externe server. De nieuw opgehaalde JavaScript-code downloadt op zijn beurt een aantal bestanden van een van de willekeurig geselecteerde hardgecodeerde servers.
Dit omvat een AutoIt-script dat wordt uitgevoerd door de JavaScript-payload, waarna het shellcode laadt en uitvoert, die op zijn beurt een op Delphi gebaseerde DLL laadt om de Astaroth-malware te decoderen en te injecteren in een nieuw aangemaakt RegSvc.exe-proces.
Astaroth is een Delphi-malware die is ontworpen om de bezoeken van slachtoffers aan bank- of cryptocurrency-websites te monitoren en hun inloggegevens te stelen met behulp van keylogging. De vastgelegde informatie wordt naar de aanvallers verzonden met behulp van de Ngrok reverse proxy.
Dit wordt bereikt door elke seconde het actieve browserprogrammavenster te controleren en te controleren of er een bankgerelateerde site is geopend. Als aan deze voorwaarden wordt voldaan, haakt de malware toetsenbordgebeurtenissen vast om toetsaanslagen te registreren. Enkele van de beoogde websites worden hieronder vermeld –
- caixa.gov(.)br
- safra.com(.)br
- itau.com(.)br
- bancooriginal.com(.)br
- santandernet.com(.)br
- btgpactual(.)com
- etherscan(.)io
- binance(.)com
- bitcointrade.com(.)br
- metamask(.)io
- foxbit.com(.)br
- localbitcoins(.)com
Astaroth is ook uitgerust met mogelijkheden om analyse te weerstaan en wordt automatisch afgesloten als het emulator-, debugger- en analysetools zoals onder andere QEMU Guest Agent, HookExplorer, IDA Pro, ImmunityDebugger, PE Tools, WinDbg en Wireshark detecteert.
Persistentie op de host wordt ingesteld door een LNK-bestand in de Windows Startup-map neer te zetten, dat het AutoIT-script uitvoert om de malware automatisch te starten wanneer het systeem opnieuw wordt opgestart. Bovendien wordt niet alleen de oorspronkelijke URL waartoe JavaScript in het LNK-bestand toegang heeft, geofenced, maar zorgt de malware er ook voor dat de systeemlandinstelling van de machine niet is ingesteld op Engels of de VS.
“Astaroth gebruikt GitHub om zijn configuratie bij te werken wanneer de C2-servers ontoegankelijk worden, door afbeeldingen te hosten op GitHub, dat steganografie gebruikt om deze informatie in het zicht te verbergen”, aldus McAfee.
Daarbij maakt de malware gebruik van een legitiem platform om configuratiebestanden te hosten en er een veerkrachtige back-upinfrastructuur van te maken wanneer primaire C2-servers ontoegankelijk worden. Het bedrijf merkte op dat het samenwerkte met de dochteronderneming van Microsoft om de GitHub-repository’s te verwijderen, waardoor de activiteiten tijdelijk werden geneutraliseerd.
