McAfee Labs’ın yeni bir raporu, tehlikeli bir bankacılık truva atı olan Astaroth’un, yazılım geliştirme platformu GitHub’u gizli bir yedekleme konumu olarak kötüye kullanarak aktif kalmak için endişe verici yeni bir hile ile dağıtıldığını ortaya koyuyor.
Beklenmedik Yeni Bir Saklanma Yeri
Delphi’de yazılan Astaroth, bir kurban bankacılık veya kripto para birimi hesaplarına eriştiğinde keylogging kullanarak oturum açma bilgilerini ve şifreleri sessizce çalmak üzere tasarlanmış bir bankacılık truva atıdır. Normalde bu siber suçlular, güvenlik uzmanlarının bulup devre dışı bırakabileceği merkezi C2 (komuta ve kontrol) sunucularına güvenir.
Ancak McAfee Tehdit Araştırma ekibi, Astaroth’un hayati önem taşıyan kurulum dosyalarını GitHub’da sakladığını keşfetti. Bu, ana C2 sunucusunun kolluk kuvvetleri veya güvenlik uzmanları tarafından kapatılması durumunda Astaroth’un, steganografi kullanarak görüntülerde gizli bilgileri barındıran GitHub deposundan yeni talimatlar alması ve işlemlerine devam etmesi anlamına gelir. Kimlik bilgileri çalındığında, kötü amaçlı yazılım, verileri gizlice saldırganlara geri sızdırmak için Ngrok aracını kullanıyor.
Saldırı Nasıl Başlıyor?
Saldırı genellikle bir bağlantı içeren bir kimlik avı e-postasıyla (bir belge veya özgeçmiş gibi davranarak) başlar. Bu bağlantı, kötü amaçlı bir Windows kısayolu içeren sıkıştırılmış bir dosyayı indirir (.lnk) dosya.
Bu kısayolun açılması, araziden yaşamak olarak bilinen bir teknik olan meşru Windows sistem dosyalarını kötüye kullanarak sonunda Astaroth’u yükleyen karmaşık, çok aşamalı bir enfeksiyon zincirini tetikler. .lnk dosyası, ek kod almak için mshta.exe’yi (Microsoft HTML Uygulaması ana bilgisayarı) kullanarak gizli bir komut dosyası çalıştırır.
Son kötü amaçlı veri daha sonra fark edilmeden çalışması için meşru Windows işlemi regsvc.exe’ye (Uzak Kayıt Defteri Hizmeti) gizlice enjekte edilir. Astaroth kötü amaçlı yazılımı ayrıca popüler web tarayıcılarını (chrome, ieframe, mozilla veya xoff içeren pencere sınıfı adına sahip programlar) izleme ve hedefleme dahil olmak üzere çeşitli anti-analiz tekniklerini de kullanır.
Astaroth, Brezilya (mevcut kampanyanın odaklandığı yer), Meksika, Uruguay, Arjantin, Paraguay, Şili, Bolivya, Peru, Ekvador, Kolombiya, Venezuela, Panama, Portekiz ve İtalya dahil olmak üzere geniş bir bölgedeki finans kuruluşlarını hedef alıyor.
Hedeflenen Brezilya finans kuruluşları arasında aşağıdaki gibi siteler yer almaktadır: caixa.gov.br, safra.com.br, itau.com.br, bancooriginal.com.br, santandernet.com.brVe btgpactual.com. Ayrıca eterscan.io, binance.com gibi kripto para birimiyle ilgili siteleri de hedefler. bitcointrade.com.brVe localbitcoins.com.
Üstelik kötü amaçlı yazılım, güvenlik araştırmacıları tarafından analiz edildiğini tespit ederse anında kapanıyor. McAfee Labs bulgularını GitHub’a bildirdi, ardından kötü amaçlı dosyalar kaldırıldı ve bu son etkinlik geçici olarak kesintiye uğradı.
Bu son gelişme, Astaroth’un en karmaşık çevrimiçi tehditlerden biri olmaya devam ettiğini doğruluyor ve güvenlik uzmanlarının önceki uyarılarını takip ediyor. Şubat 2025’te Hackread.com, SlashNext tarafından keşfedilen ve iki faktörlü kimlik doğrulamayı (2FA) kolayca atlamak ve kimlik bilgilerini ve oturum çerezlerini gerçek zamanlı olarak çalmak için “evilginx tarzı ters proxy” kullanan gelişmiş bir Astaroth kimlik avı kiti hakkında rapor verdi.
Mevcut bankacılık truva atı türü öncelikle bulaşma sonrasında keylogging’e dayanıyor ve oturum açma sırasında 2FA’yı aktif olarak atlayamayabilir. Bununla birlikte, kendinizi korumak için en kritik adım, bilinmeyen gönderenlerden gelen e-postalardaki bağlantıları veya ekleri asla açmamaktır.
Uzman Yorumu:
“Tehdit ortamı, özellikle de mobil tehdit manzarası artıyor; 2024’te 4 milyondan fazla sosyal mühendislik saldırısı mobil cihazları hedef aldı, 33 milyondan fazla mobil kötü amaçlı yazılım/reklam yazılımı olayı engellendi ve kimlik avı saldırıları özellikle iOS’ta önemli ölçüde arttı.“ Cequence Security’nin Baş Bilgi Güvenliği Sorumlusu Randolph Barr şöyle konuştu:
“Android, bankacılık Truva Atları ve veri sızdıran SDK’larla karşı karşıya kalmaya devam ederken, güvensiz uygulama uygulamaları her iki platformu da rahatsız ediyor. Bu saldırıların çoğu kişisel bilgileri, kimlik bilgilerini ve finansal verileri hedef alıyor.“ Barr uyardı.
“İşverenler ve hizmet sağlayıcılar üçüncü bir risk katmanı ekliyor. Her doğrulama isteği, ek bir saldırı yüzeyi oluşturan yeni bir entegrasyon noktasıdır. Kötü aktörler işveren sistemlerini tehlikeye atabilir, doğrulama API’lerini kötüye kullanabilir veya kimlik avı organizasyonlarının hassas verileri aşırı toplamasına ve yanlış kullanmasına neden olabilir. İşverenler genellikle hükümet sistemleriyle aynı seviyede siber güvenlik olgunluğuna sahip olmadıkları için zincirin en zayıf halkası haline gelebilirler.“ uyardı.