HackerNews 编译,转载请注明出处:
网络安全研究人员正提请关注一场新型攻击活动:该活动传播的 Astaroth银行木马,将 GitHub 用作其运营的核心基础设施,即便自身基础设施遭下架,仍能保持 “抗打击能力”。
“攻击者不再单纯依赖易被下架的传统命令与控制(C2)服务器,而是利用 GitHub 仓库托管恶意软件配置文件,” 迈克菲实验室(McAfee Labs)研究人员哈希尔・帕特尔与普拉布德・查克拉沃蒂在一份报告中表示,“当执法部门或安全研究人员关停其 C2 基础设施时,Astaroth只需从 GitHub 获取新的配置文件,就能继续运行。”
据这家网络安全公司透露,当前攻击活动主要集中在巴西;不过已知该银行木马还会针对拉丁美洲多个国家,包括墨西哥、乌拉圭、阿根廷、巴拉圭、智利、玻利维亚、秘鲁、厄瓜多尔、哥伦比亚、委内瑞拉和巴拿马。
Astaroth针对巴西发起攻击并非首次。2024 年 7 月和 10 月,谷歌与趋势科技曾先后发出警告,提及两个名为 “PINEAPPLE”(菠萝)和 “Water Makara”(水摩伽罗)的威胁团伙,它们通过钓鱼邮件传播该恶意软件。
最新的攻击链流程与此类似:同样以 “DocuSign(电子签名平台)” 为主题的钓鱼邮件为起点,邮件中包含一个链接,点击后会下载一个压缩的 Windows 快捷方式(.lnk 文件);打开该文件后,阿斯塔罗斯木马便会安装到受感染的主机中。
该.lnk 文件内嵌经过混淆处理的 JavaScript 代码,其作用是从外部服务器获取额外的 JavaScript 脚本。而新获取的 JavaScript 代码则会从多个预先硬编码的服务器中随机选择一个,下载多个文件。
这其中包括一个 AutoIt 脚本,该脚本由 JavaScript 有效载荷执行;随后脚本会加载并运行一段外壳代码,这段外壳代码再加载一个基于 Delphi 语言编写的动态链接库,最终解密 Astaroth恶意软件,并将其注入到新创建的 “RegSvc.exe” 进程中。
Astaroth是一款基于 Delphi 语言开发的恶意软件,其设计目的是监控受害者访问的银行或加密货币网站,并通过键盘记录窃取用户凭据。捕获到的信息会通过 Ngrok 反向代理传输给攻击者。
该木马的具体运作方式为:每秒检查一次当前活跃的浏览器程序窗口,判断是否打开了与银行相关的网站。若满足上述条件,恶意软件便会 “挂钩”(hook)键盘事件,记录用户的按键操作。以下是部分被针对的网站:
- caixa.gov [.] br(巴西联邦储蓄银行官网)safra.com[.] br(巴西萨夫拉银行官网)itau.com[.] br(巴西伊塔乌联合银行官网)bancooriginal.com[.] br(巴西奥里金纳银行官网)santandernet.com[.] br(巴西桑坦德银行官网)btgpactual [.] com(巴西 BTG 百利宫投资银行官网)etherscan [.] io(以太坊区块链浏览器)binance [.] com(币安加密货币交易所)bitcointrade.com[.] br(巴西比特币交易平台)metamask [.] io(MetaMask 加密货币钱包)foxbit.com[.] br(巴西 Foxbit 加密货币交易所)localbitcoins [.] com(本地比特币交易平台)
Astaroth还具备反分析能力:若检测到模拟器、调试器及各类分析工具(如 QEMU 客户机代理、HookExplorer 调试工具、IDA Pro 反编译工具、ImmunityDebugger 调试器、PE Tools 可执行文件分析工具、WinDbg 调试器、Wireshark 抓包工具等),便会自动停止运行。
该恶意软件通过在 Windows “启动” 文件夹中放置一个.lnk 文件来实现主机持久化 —— 系统重启时,该.lnk 文件会运行 AutoIt 脚本,自动启动恶意软件。此外,不仅.lnk 文件中 JavaScript 访问的初始 URL 设有地理围栏(仅特定地区可访问),恶意软件还会检查目标设备的系统区域设置,确保其不为英语或美国区域。
迈克菲指出:“当 C2 服务器无法访问时,Astaroth会利用 GitHub 更新配置 —— 它将配置信息隐藏在 GitHub 上托管的图片中,通过隐写术实现‘明处藏秘’。”
通过这种方式,恶意软件借助合法平台(GitHub)托管配置文件,并在主 C2 服务器失效时,将其转化为具备抗打击能力的备用基础设施。迈克菲表示,已与微软旗下的 GitHub 合作移除了相关仓库,暂时遏制了该恶意软件的运营活动。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
