McAfee’nin Tehdit Araştırma ekibi yakın zamanda kötü amaçlı yazılım altyapı taktiklerinde önemli bir evrimi temsil eden yeni ve gelişmiş bir Astaroth saldırısını ortaya çıkardı.
Bu en son değişken, kritik kötü amaçlı yazılım yapılandırmalarını barındırmak için GitHub depolarından yararlanmak amacıyla geleneksel komuta ve kontrol (C2) sunucusu bağımlılıklarını terk etti.
Astaroth bankacılık kötü amaçlı yazılımı, kalıcı işlemleri sürdürmek için GitHub’un meşru altyapısından yararlanarak geleneksel C2 sunucu mimarilerinin ötesine geçti.
Kolluk kuvvetleri veya güvenlik araştırmacıları, geleneksel C2 sunucularını başarılı bir şekilde bozduğunda, bu kötü amaçlı yazılım çeşidi, GitHub tarafından barındırılan yapılandırma dosyalarına sorunsuz bir şekilde geçiş yaparak altyapı kesintilerine rağmen sürekli çalışmayı sağlar.
Kötü amaçlı yazılım, GitHub depolarında barındırılan görünüşte masum görüntü dosyalarındaki yapılandırma verilerini gizlemek için steganografi tekniklerini kullanıyor.
Bu görüntüler, belirli veri modellerine gömülü gizli kötü amaçlı yazılım yapılandırmaları içerir ve Astaroth’un bu gizlenmiş yapılandırma dosyalarını getirerek operasyonel parametrelerini her iki saatte bir güncellemesine olanak tanır.
Bu teknik, GitHub’u etkili bir şekilde, ortadan kaldırılması geleneksel C2 sunucularına göre çok daha zor olan, dayanıklı bir yedekleme altyapısına dönüştürüyor.
McAfee araştırmacıları, bu kötü amaçlı görüntü dosyalarını içeren birden fazla GitHub deposunu tespit etti ve rahatsız edici depoları kaldırmak için GitHub’ın güvenlik ekibiyle başarılı bir şekilde işbirliği yaptı.
Ancak yeni veri havuzlarının oluşturulma kolaylığı, bunun güvenlik araştırmacıları ile kötü amaçlı yazılım operatörleri arasında devam eden bir kedi-fare oyununu temsil ettiğini gösteriyor.
Gelişmiş Enfeksiyon Zinciri
Astaroth kampanyası, DocuSign bildirimleri ve özgeçmiş belgeleri gibi temaları içeren, özenle hazırlanmış kimlik avı e-postaları yoluyla başlatılıyor.
Bu e-postalar, şüpheli olmayan kurbanlar tarafından açıldığında mshta.exe aracılığıyla gizlenmiş JavaScript komutlarını çalıştıran sıkıştırılmış Windows kısayol dosyalarını (.lnk) indiren bağlantılar içerir.
Kötü amaçlı yazılım, öncelikle Brezilya, Meksika, Uruguay, Arjantin, Paraguay, Şili, Bolivya, Peru, Ekvador, Kolombiya, Venezuela ve Panama gibi Güney Amerika ülkelerine odaklanarak gelişmiş coğrafi hedefleme yetenekleri sergiliyor.
Bu yaklaşım, birincil C2 altyapısı erişilemez hale geldiğinde saldırganların GitHub’dan yeni yapılandırmaları kolaylıkla çekebilmesi nedeniyle, yayından kaldırma çabalarına karşı benzeri görülmemiş bir dayanıklılık sergiliyor.
Ek hedefleme Portekiz ve İtalya’yı kapsıyor, ancak mevcut kampanya özellikle Brezilya bankacılık kurumları ve kripto para platformlarına yoğunlaşıyor.
Kurulduktan sonra Astaroth, kullanıcılar hedeflenen finansal platformlara eriştiğinde kimlik bilgilerini yakalamak için keylogging işlevini uygulayarak bankacılık ve kripto para birimiyle ilgili tarayıcı pencerelerini sürekli olarak izler.
API adresleri, kabuk kodu belleğinin en başında bir atlama tablosunda saklanır.
Kötü amaçlı yazılım özellikle caixa.gov.br, safra.com.br ve itau.com.br gibi başlıca Brezilya bankacılık sitelerinin yanı sıra binance.com, metamask.io ve bitcointrade.com.br gibi kripto para birimi platformlarını da hedefliyor.
Analize Karşı Önlemler
Astaroth’un teknik uygulaması hem kaçınma hem de ısrar mekanizmalarında önemli derecede karmaşıklığı ortaya koyuyor.
Kötü amaçlı yazılım, güvenlik araştırma araçlarını tespit eden ve analiz ortamları belirlenirse sistemi otomatik olarak kapatan kapsamlı analiz önleme özellikleri içerir.
Analiz araçlarının bir kara listesini tutar ve sistem yerel ayarlarının Amerika Birleşik Devletleri veya İngilizce yapılandırmalarına uymamasını sağlar.
Kötü amaçlı yazılım, sistem başlatma klasörlerine stratejik olarak yerleştirilen LNK dosyaları aracılığıyla kalıcılık sağlıyor ve sistem yeniden başlatıldığında otomatik yürütmeyi sağlıyor.
C2 altyapısıyla iletişim, çalınan bankacılık kimlik bilgilerini ve sistem bilgilerini iletmek için özel ikili protokolleri kullanırken GitHub tabanlı yapılandırma güncellemeleri, gizlenmiş görüntü dosyası alma yoluyla gerçekleşir.
Kimlik bilgisi hırsızlığı işlemleri için Astaroth, özellikle bankacılıkla ilgili tarayıcı pencereleri odaktayken klavye olaylarını yakalar ve “chrome”, “ieframe”, “mozilla” ve diğer tarayıcı tanımlayıcılarını içeren pencere sınıfı adlarına sahip programları hedefler.
Çalınan bilgiler daha sonra Ngrok ters proxy hizmetleri kullanılarak saldırganlara iletilir ve bu da veri sızıntısı için ek gizleme sağlar.
Azaltmalar
Kuruluşlar ve bireyler, Astaroth ve benzeri bankacılık kötü amaçlı yazılım tehditlerine karşı çeşitli savunma önlemleri uygulayabilir.
Birincil önleme, e-posta güvenliği farkındalığına odaklanır ve şüpheli eklerden ve bilinmeyen kaynaklardan gelen bağlantılardan kaçınmanın önemini vurgular.
Bankacılık ve kripto para platformlarında iki faktörlü kimlik doğrulama uygulaması, kimlik bilgileri tehlikeye girdiğinde bile önemli ek güvenlik katmanları sağlar.
McAfee’nin Trojan:Shortcut/SuspiciousLNK.OSRT, Trojan:Script/Astaroth.DL ve diğer birçok imza tabanlı algılamayı içeren kapsamlı algılama kapsamının da gösterdiği gibi, gerçek zamanlı tarama özelliklerine sahip güncellenmiş antivirüs çözümlerinin bakımı hala hayati önem taşıyor.
Düzenli sistem güncellemeleri ve güvenlik yamaları, kötü amaçlı yazılım kampanyalarının ilk bulaşma girişimleri sırasında yararlanabileceği güvenlik açıklarını ortadan kaldırmaya yardımcı olur.
Astaroth kampanyasının GitHub istismarı, kötü amaçlı yazılım altyapı taktiklerinde endişe verici bir evrimi temsil ediyor ve meşru platformların kötü amaçlar için nasıl silah haline getirilebileceğini gösteriyor.
GitHub’un güvenlik ekibi belirlenen depoları başarıyla kaldırırken, olay, geleneksel kaldırma çabalarına karşı dayanıklılık ve dayanıklılık için güvenilir altyapıdan yararlanan uyarlanabilir kötü amaçlı yazılım kampanyalarıyla mücadelede devam eden zorlukları vurguluyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.