Siber güvenlik araştırmacıları, aşağıdakileri sağlayan yeni bir kampanyaya dikkat çekiyor: Astaroth Altyapının çökmesi karşısında operasyonlarının dirençli kalması için GitHub’u omurga olarak kullanan bankacılık truva atı.
McAfee Labs araştırmacıları Harshil Patel ve Prabudh Chakravorty bir raporda, “Bu saldırganlar, yalnızca devre dışı bırakılabilen geleneksel komuta ve kontrol (C2) sunucularına güvenmek yerine, kötü amaçlı yazılım yapılandırmalarını barındırmak için GitHub depolarından yararlanıyor” dedi.
“Kolluk kuvvetleri veya güvenlik araştırmacıları C2 altyapılarını kapattığında, Astaroth GitHub’dan yeni yapılandırmaları alıp çalışmaya devam ediyor.”
Siber güvenlik şirketine göre faaliyet öncelikle Brezilya’ya odaklanıyor, ancak bankacılık kötü amaçlı yazılımlarının Meksika, Uruguay, Arjantin, Paraguay, Şili, Bolivya, Peru, Ekvador, Kolombiya, Venezuela ve Panama dahil olmak üzere Latin Amerika’daki çeşitli ülkeleri hedef aldığı biliniyor.
Bu, Astaroth kampanyalarının gözünü Brezilya’ya çevirdiği ilk sefer değil. Temmuz ve Ekim 2024’te hem Google hem de Trend Micro, kötü amaçlı yazılımı dağıtmak için kimlik avı e-postaları kullanan PINEAPPLE ve Water Makara adlı tehdit kümeleri konusunda uyarıda bulundu.
En son saldırı zinciri de farklı değil çünkü aynı zamanda sıkıştırılmış bir Windows kısayolu (.lnk) dosyasını indiren ve açıldığında Astaroth’u tehlikeye atılan ana bilgisayara yükleyen bir bağlantı içeren DocuSign temalı kimlik avı e-postasıyla başlıyor.
LNK dosyası, harici bir sunucudan ek JavaScript getirilmesinden sorumlu olan karmaşık JavaScript içerir. Yeni getirilen JavaScript kodu, rastgele seçilen sabit kodlu sunucuların birinden bir dizi dosya indirir.
Buna, JavaScript yükü tarafından yürütülen, ardından kabuk kodunu yükleyip çalıştıran bir AutoIt betiği de dahildir; bu komut dosyası da, Astaroth kötü amaçlı yazılımının şifresini çözmek ve yeni oluşturulan RegSvc.exe işlemine enjekte etmek için Delphi tabanlı bir DLL yükler.
Astaroth, kurbanların bankacılık veya kripto para birimi web sitelerine ziyaretlerini izlemek ve keylogging kullanarak kimlik bilgilerini çalmak için tasarlanmış bir Delphi kötü amaçlı yazılımıdır. Yakalanan bilgiler, Ngrok ters proxy’si kullanılarak saldırganlara iletilir.
Bunu her saniye aktif tarayıcı programı penceresini ve bankacılıkla ilgili bir sitenin açık olup olmadığını kontrol ederek gerçekleştirir. Bu koşullar yerine getirilirse, kötü amaçlı yazılım, tuş vuruşlarını kaydetmek için klavye olaylarını yakalar. Hedeflenen web sitelerinden bazıları aşağıda listelenmiştir:
- caixa.gov[.]br
- safra.com[.]br
- itau.com[.]br
- bancooriginal.com[.]br
- santandernet.com[.]br
- btgactual[.]iletişim
- eter taraması[.]io
- Binance[.]iletişim
- bitcointrade.com[.]br
- metamask[.]io
- foxbit.com[.]br
- yerelbitcoinler[.]iletişim
Astaroth ayrıca analize direnme yetenekleriyle donatılmıştır ve diğerlerinin yanı sıra QEMU Guest Agent, HookExplorer, IDA Pro, ImmunityDebugger, PE Tools, WinDbg ve Wireshark gibi emülatör, hata ayıklayıcı ve analiz araçlarını tespit ederse otomatik olarak kapanır.
Ana bilgisayardaki kalıcılık, sistem yeniden başlatıldığında kötü amaçlı yazılımı otomatik olarak başlatmak için AutoIT komut dosyasını çalıştıran Windows Başlangıç klasörüne bir LNK dosyası bırakılarak ayarlanır. Dahası, kötü amaçlı yazılım, yalnızca LNK dosyasındaki JavaScript tarafından erişilen ilk URL’ye coğrafi sınır uygulamakla kalmıyor, aynı zamanda makinenin sistem yerel ayarının İngilizce veya ABD olarak ayarlanmamasını da sağlıyor.
McAfee, “Astaroth, C2 sunucuları erişilemez hale geldiğinde, görüntüleri GitHub’da barındırarak yapılandırmasını güncellemek için GitHub’u kullanıyor; GitHub, bu bilgiyi açıkça gizlemek için steganografiyi kullanıyor” dedi.
Bunu yaparken kötü amaçlı yazılım, yapılandırma dosyalarını barındırmak için meşru bir platformdan yararlanıyor ve birincil C2 sunucularına erişilemediğinde bunu dayanıklı bir yedekleme altyapısına dönüştürüyor. Şirket, GitHub depolarını kaldırmak için Microsoft’un sahibi olduğu yan kuruluşla birlikte çalışarak operasyonları geçici olarak etkisiz hale getirdiğini belirtti.