Обычный PNG, а внутри — троян. Теперь даже картинка может украсть ваши деньги
NewsMakerБанковский троян Astaroth использует GitHub для обхода блокировок и загрузки конфигурации.
Специалисты McAfee сообщили о новой активности банковского трояна Astaroth, который начал использовать GitHub в качестве устойчивого канала доставки конфигурационных данных. Такой подход позволяет злоумышленникам сохранять контроль над заражёнными устройствами даже после отключения основных командных серверов, значительно повышая живучесть малвари и усложняя её нейтрализацию.
Атака начинается с фишингового письма , маскирующегося под уведомление от популярных сервисов вроде DocuSign или содержащее якобы резюме соискателя. В теле письма размещена ссылка, которая ведёт на скачивание ZIP-архива. Внутри находится файл-ярлык (.lnk), запускающий скрытый JavaScript через mshta.exe. Этот скрипт скачивает новый набор файлов с удалённого сервера, доступ к которому ограничен по географическому признаку — вредонос загружается только на устройствах в целевых регионах.
Загруженный набор включает AutoIT-скрипт, интерпретатор AutoIT, зашифрованное тело самого трояна и отдельный конфигурационный файл. Скрипт разворачивает в памяти шеллкод и внедряет DLL-файл в процесс RegSvc.exe, используя техники обхода анализа и подмену стандартного API kernel32.dll. Загруженный модуль, написанный на Delphi, тщательно проверяет окружение: при обнаружении песочницы , отладчика или системы с англоязычной локалью выполнение немедленно прекращается.
Astaroth постоянно отслеживает, какие окна открыты на экране. Если пользователь заходит на сайт банка или криптосервиса, троян активирует кейлоггер , перехватывая все нажатия клавиш. Он ориентируется на названия классов окон, таких как chrome, mozilla, ieframe и другие. Среди целевых ресурсов указаны сайты крупнейших банков Бразилии и криптовалютные платформы, включая Binance, Metamask, Etherscan и LocalBitcoins. Все украденные данные передаются на сервер злоумышленников с помощью собственного протокола либо через сервис обратного проксирования Ngrok.
Особенность этой кампании в том, что Astaroth использует GitHub для обновления своей конфигурации. Каждые два часа троян загружает PNG-изображение из открытого репозитория, в котором с помощью стеганографии спрятан зашифрованный конфиг. Обнаруженные репозитории содержали изображения с заранее определённым форматом именования и были оперативно удалены по запросу исследователей. Однако сам подход показывает, как легитимные платформы можно использовать как запасной канал связи для вредоносных программ.
Для закрепления в системе троян помещает ярлык в папку автозагрузки, обеспечивая автоматический запуск при каждом включении компьютера. Несмотря на техническую сложность атаки, основной вектор по-прежнему основан на социальной инженерии и доверии пользователей к электронным письмам.
В ходе расследования специалисты выяснили, что основная география заражений сосредоточена в Южной Америке — в первую очередь в Бразилии, но также в Аргентине, Колумбии, Чили, Перу, Венесуэле и других странах региона. Возможна и активность в Португалии и Италии.
McAfee подчёркивает, что подобные схемы подчёркивают необходимость более внимательной работы с открытыми платформами, такими как GitHub, поскольку злоумышленники всё чаще используют их для обхода традиционных механизмов блокировки. Компания уже передала информацию о вредоносных репозиториях, которые были удалены в кратчайшие сроки, временно нарушив цепочку обновлений Astaroth.
Специалисты McAfee сообщили о новой активности банковского трояна Astaroth, который начал использовать GitHub в качестве устойчивого канала доставки конфигурационных данных. Такой подход позволяет злоумышленникам сохранять контроль над заражёнными устройствами даже после отключения основных командных серверов, значительно повышая живучесть малвари и усложняя её нейтрализацию.
Атака начинается с фишингового письма , маскирующегося под уведомление от популярных сервисов вроде DocuSign или содержащее якобы резюме соискателя. В теле письма размещена ссылка, которая ведёт на скачивание ZIP-архива. Внутри находится файл-ярлык (.lnk), запускающий скрытый JavaScript через mshta.exe. Этот скрипт скачивает новый набор файлов с удалённого сервера, доступ к которому ограничен по географическому признаку — вредонос загружается только на устройствах в целевых регионах.
Загруженный набор включает AutoIT-скрипт, интерпретатор AutoIT, зашифрованное тело самого трояна и отдельный конфигурационный файл. Скрипт разворачивает в памяти шеллкод и внедряет DLL-файл в процесс RegSvc.exe, используя техники обхода анализа и подмену стандартного API kernel32.dll. Загруженный модуль, написанный на Delphi, тщательно проверяет окружение: при обнаружении песочницы , отладчика или системы с англоязычной локалью выполнение немедленно прекращается.
Astaroth постоянно отслеживает, какие окна открыты на экране. Если пользователь заходит на сайт банка или криптосервиса, троян активирует кейлоггер , перехватывая все нажатия клавиш. Он ориентируется на названия классов окон, таких как chrome, mozilla, ieframe и другие. Среди целевых ресурсов указаны сайты крупнейших банков Бразилии и криптовалютные платформы, включая Binance, Metamask, Etherscan и LocalBitcoins. Все украденные данные передаются на сервер злоумышленников с помощью собственного протокола либо через сервис обратного проксирования Ngrok.
Особенность этой кампании в том, что Astaroth использует GitHub для обновления своей конфигурации. Каждые два часа троян загружает PNG-изображение из открытого репозитория, в котором с помощью стеганографии спрятан зашифрованный конфиг. Обнаруженные репозитории содержали изображения с заранее определённым форматом именования и были оперативно удалены по запросу исследователей. Однако сам подход показывает, как легитимные платформы можно использовать как запасной канал связи для вредоносных программ.
Для закрепления в системе троян помещает ярлык в папку автозагрузки, обеспечивая автоматический запуск при каждом включении компьютера. Несмотря на техническую сложность атаки, основной вектор по-прежнему основан на социальной инженерии и доверии пользователей к электронным письмам.
В ходе расследования специалисты выяснили, что основная география заражений сосредоточена в Южной Америке — в первую очередь в Бразилии, но также в Аргентине, Колумбии, Чили, Перу, Венесуэле и других странах региона. Возможна и активность в Португалии и Италии.
McAfee подчёркивает, что подобные схемы подчёркивают необходимость более внимательной работы с открытыми платформами, такими как GitHub, поскольку злоумышленники всё чаще используют их для обхода традиционных механизмов блокировки. Компания уже передала информацию о вредоносных репозиториях, которые были удалены в кратчайшие сроки, временно нарушив цепочку обновлений Astaroth.