Các nhà nghiên cứu an ninh mạng đang cảnh báo về một chiến dịch mới phát tán mã độc ngân hàng Astaroth, trong đó sử dụng GitHub làm xương sống cho các hoạt động của mình để duy trì khả năng phục hồi khi cơ sở hạ tầng bị gỡ bỏ.
"Thay vì chỉ dựa vào các máy chủ command-and-control (C2) truyền thống có thể bị gỡ bỏ, những kẻ tấn công này đang tận dụng kho lưu trữ GitHub để lưu trữ các cấu hình của mã độc," các nhà nghiên cứu Harshil Patel và Prabudh Chakravorty từ McAfee Labs cho biết trong một báo cáo.
"Khi cơ quan thực thi pháp luật hoặc các nhà nghiên cứu bảo mật gỡ bỏ cơ sở hạ tầng C2 của chúng, Astaroth đơn giản chỉ cần lấy các cấu hình mới từ GitHub và tiếp tục hoạt động."
Hoạt động này, theo công ty an ninh mạng, chủ yếu tập trung vào Brazil, mặc dù mã độc ngân hàng này được biết đến là nhắm mục tiêu vào nhiều quốc gia ở Mỹ Latinh, bao gồm Mexico, Uruguay, Argentina, Paraguay, Chile, Bolivia, Peru, Ecuador, Colombia, Venezuela và Panama.
Đây không phải là lần đầu tiên các chiến dịch Astaroth nhắm mục tiêu vào Brazil. Vào tháng 7 và tháng 10 năm 2024, cả Google và Trend Micro đều cảnh báo về các nhóm đe dọa được đặt tên là PINEAPPLE và Water Makara đã sử dụng email lừa đảo (phishing) để phân phối mã độc này.
Chuỗi tấn công mới nhất cũng không khác biệt khi nó bắt đầu bằng một email phishing theo chủ đề DocuSign chứa một liên kết tải xuống tệp Windows shortcut (.lnk) được nén, khi mở ra sẽ cài đặt Astaroth trên máy chủ bị xâm nhập.
Tệp LNK này tích hợp một đoạn JavaScript bị làm rối (obfuscated) có nhiệm vụ tìm nạp thêm JavaScript từ một máy chủ bên ngoài. Mã JavaScript mới được tìm nạp, đến lượt nó, tải xuống một số tệp từ một trong các máy chủ được mã hóa cứng (hard-coded) được chọn ngẫu nhiên.
Điều này bao gồm một script AutoIt được thực thi bởi payload JavaScript, sau đó nó tải và chạy shellcode, và shellcode này lại tải một DLL dựa trên Delphi để giải mã và inject mã độc Astaroth vào một tiến trình RegSvc.exe mới được tạo.
Astaroth là một mã độc Delphi được thiết kế để theo dõi các lượt truy cập của nạn nhân vào các trang web ngân hàng hoặc tiền điện tử và đánh cắp thông tin đăng nhập của họ bằng cách sử dụng keylogging. Thông tin bị thu thập sẽ được truyền đến những kẻ tấn công bằng cách sử dụng Ngrok reverse proxy.
Nó thực hiện điều này bằng cách kiểm tra cửa sổ chương trình trình duyệt đang hoạt động mỗi giây và liệu có trang web liên quan đến ngân hàng nào đang mở hay không. Nếu các điều kiện này được đáp ứng, mã độc sẽ hook các sự kiện bàn phím để ghi lại các lần gõ phím (keystrokes). Một số trang web mục tiêu được liệt kê dưới đây:
- caixa.gov[.]br
- safra.com[.]br
- itau.com[.]br
- bancooriginal.com[.]br
- santandernet.com[.]br
- btgpactual[.]com
- etherscan[.]io
- binance[.]com
- bitcointrade.com[.]br
- metamask[.]io
- foxbit.com[.]br
- localbitcoins[.]com
Astaroth cũng được trang bị các khả năng chống phân tích và sẽ tự động tắt nếu nó phát hiện các công cụ giả lập (emulator), gỡ lỗi (debugger) và phân tích như QEMU Guest Agent, HookExplorer, IDA Pro, ImmunityDebugger, PE Tools, WinDbg và Wireshark, cùng nhiều công cụ khác.
Tính bền bỉ (persistence) trên máy chủ được thiết lập bằng cách thả một tệp LNK vào thư mục Windows Startup để chạy script AutoIT nhằm khởi chạy mã độc tự động khi hệ thống khởi động lại. Hơn nữa, URL ban đầu được truy cập bởi JavaScript bên trong tệp LNK không chỉ được khoanh vùng địa lý (geofenced), mã độc còn đảm bảo rằng cài đặt ngôn ngữ (system locale) của máy không phải là tiếng Anh hoặc Hoa Kỳ.
"Astaroth sử dụng GitHub để cập nhật cấu hình của nó khi các máy chủ C2 trở nên không thể truy cập, bằng cách lưu trữ hình ảnh trên GitHub, sử dụng kỹ thuật dấu ảnh (steganography) để ẩn thông tin này một cách công khai," McAfee cho biết.
Khi làm như vậy, mã độc tận dụng một nền tảng hợp pháp để lưu trữ các tệp cấu hình và biến nó thành một cơ sở hạ tầng dự phòng kiên cường khi các máy chủ C2 chính không thể truy cập. Công ty lưu ý rằng họ đã làm việc với công ty con thuộc sở hữu của Microsoft để gỡ bỏ các kho lưu trữ GitHub, tạm thời vô hiệu hóa các hoạt động này.
