Поделиться
Банковский троян использует GitHub для аварийного восстановления
В рамках новой кампании банковского троянца Astaroth обнаружилось использование репозиториев GitHub, где хранились изображения, содержащие данные настроек вредоноса, - на случай блокировки C2-серверов.
Гонишь в дверь, они в окошко
Эксперты McAfee Labs опубликовали исследование банковского троянца под Windows, который эксплуатирует репозитории GitHub для обеспечения сохранности своей инфраструктуры.
Как пишут исследователи, инфраструктура троянца Astaroth не ограничивается традиционными C2-серверами: на GitHub хранятся данные о настройках, которые подкачиваются, если командные серверы по той или иной причине перестают функционировать - например, в результате действий борцов с киберкриминалом.
«Если правоохранительные органы или специалисты по кибербезопасности отключат С2-инфраструктуру, Astaroth попросту выкачает свежие настройки с GitHub и продолжит функционировать», - написали сотрудники McAfee Labs Харшил Пател (Harshil Patel) и Прабуд Чакраворти (Prabudh Chakravorty).
Наблюдавшиеся до сих пор атаки в основном сосредоточены в Бразилии, хотя известны отдельные случаи заражений в других странах Латинской Америки, в т.ч. Мексике, Уругвае, Аргентине, Парагвае, Чили, Боливии, Перу, Эквадоре, Колумбии, Венесуэле и Панаме.
Более того, это далеко не первая кампания с использованием Astaroth, которую наблюдают в Бразилии. Ранее исследователи Google и Trend Micro отмечали активность кластеров PINEAPPLE и Water Makara, в ходе которых Astaroth распространялся с фишинговыми сообщениями.
Длинная цепочка надёжности
На сей раз отправной точкой также является фишинг: почтовое сообщение содержит ссылку, с которой скачивается заархивированный файл .LNK.
Этот файл содержит замаскированный код JavaScript, который, в свою очередь, подгружает дополнительный код JavaScript с удалённого сервера. Второй код загружает несколько файлов с одного из контрольных серверов из фиксированного списка.
Среди этих файлов - скрипт AutoIt, который, по команде от вредоноса предыдущей стадии, загружает и запускает shell-код, скачивающий уже DLL-библиотеку на языке Delphi, которая, в свою очередь, расшифровывает и внедряет вредонос Astaroth в новосозданный процесс RegSvc.exe.
Сам по себе Astaroth также написан на Delphi. Его основное назначение - отслеживать обращения жертвы к банковским или криптовалютным сайтам и, с помощью кейлоггинга, перехватывать реквизиты доступа. Эти данные передаются злоумышленникам через обратный прокси Ngrok.
Вредонос раз в секунду проверяет окно активного браузера и, если обнаруживает искомый ресурс, запускает процесс перехвата сигналов от клавиатуры.
Издание The Hacker News приводит частичный список сайтов, при посещении которых срабатывает кейлоггер, это caixa.gov[.]br, safra.com[.]br, itau.com[.]br, bancooriginal.com[.]br, santandernet.com[.]br, btgpactual[.]com, etherscan[.]io, binance[.]com, bitcointrade.com[.]br, metamask[.]io, foxbit.com[.]br, localbitcoins[.]com. Без анализов, пожалуйста
Характерно, что Astaroth снабжён средствами обнаружения инструментов отладки, эмуляции или анализа, такие как QEMU Guest Agent, HookExplorer, IDA Pro, ImmunityDebugger, PE Tools, WinDbg и Wireshark. Троянец немедленно прекращает работу (или установку), если обнаруживает какой-либо из этих инструментов в системе.
Что касается постоянства присутствия, то, во-первых, вредонос выгружает свой LNK-файл в каталог автоматической загрузки Windows, и тем самым обеспечивает автоматический перезапуск вредоноса после перезагрузки системы (с помощью AutoIt).
Как отметили исследователи, изначальный URL-адрес в файле LNK, к которому обращается JavaScript-компонент, геозонирован, а сам вредонос проверяет, чтобы язык системы по умолчанию не был английским ни в британском, ни в американском вариантах.
Резервные файлы настроек, которые хранятся в GitHub, представляют собой графические файлы; вредонос извлекает из них информацию о настройках с помощью стеганографии.
»Создатели вредоноса не стали изобретать что-то действительно новое, но продемонстрировали большую изобретательность в использовании всего того, что придумано до них, - считает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - Фишинг, стеганография, использование GitHub - всё это так или иначе уже было, но в других конфигурациях. На выходе же получается, как минимум, в теории, весьма действенный криминальный инструмент».
Эксперты McAfee Labs заявили, что с их подачи Microsoft ликвидировала используемые вредоносом репозитории GitHub, тем самым затормозив кампанию. Хотя бы и временно.
Короткая ссылка
