Банкер Astaroth использует GitHub, чтобы избегать блокировок - «Новости» » Интернет технологии
sitename
Librarian Likho разрабатывает собственную малварь с помощью ИИ - «Новости»
Librarian Likho разрабатывает собственную малварь с помощью ИИ - «Новости»
 На Positive Security Day рассказали о новых продуктах и трендах - «Новости»
На Positive Security Day рассказали о новых продуктах и трендах - «Новости»
 Подрядчик Discord отрицает компрометацию своих систем - «Новости»
Подрядчик Discord отрицает компрометацию своих систем - «Новости»
 Банкер Astaroth использует GitHub, чтобы избегать блокировок - «Новости»
Банкер Astaroth использует GitHub, чтобы избегать блокировок - «Новости»
 Северокорейские хакеры применяют тактику EtherHiding для сокрытия малвари в блокчейне - «Новости»
Северокорейские хакеры применяют тактику EtherHiding для сокрытия малвари в блокчейне - «Новости»
 Смарт-часы впервые обеспечили сантиметровую точность навигации - «Новости сети»
Смарт-часы впервые обеспечили сантиметровую точность навигации - «Новости сети»
 Закон Ома подсказал путь для развития аккумуляторных систем хранения энергии — пора повышать напряжение - «Новости сети»
Закон Ома подсказал путь для развития аккумуляторных систем хранения энергии — пора повышать напряжение - «Новости сети»
 Статистика Backblaze: за последние 12 лет срок службы жёстких дисков увеличился в разы - «Новости сети»
Статистика Backblaze: за последние 12 лет срок службы жёстких дисков увеличился в разы - «Новости сети»
 SpaceX уличили в рейдерском захвате международного резервного спутникового канала связи - «Новости сети»
SpaceX уличили в рейдерском захвате международного резервного спутникового канала связи - «Новости сети»
 ЕС обязал производителей оснастить зарядные устройства отсоединяемыми кабелями USB-C - «Новости сети»
ЕС обязал производителей оснастить зарядные устройства отсоединяемыми кабелями USB-C - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Банкер Astaroth использует GitHub, чтобы избегать блокировок - «Новости»

✔Банкер Astaroth использует GitHub, чтобы избегать блокировок - «Новости»

20 октября 2025 0 Новости / Преимущества стилей / Отступы и поля / Изображения / Ссылки / Самоучитель CSS / Видео уроки / Сайтостроение 0

Специалисты McAfee Labs изучили новую кампанию по распространению банковского трояна Astaroth. Теперь вредонос использует GitHub в качестве основы своих операций, чтобы сохранять устойчивость даже при блокировке инфраструктуры.


«Вместо того чтобы полагаться исключительно на традиционные управляющие серверы, которые можно заблокировать, атакующие используют репозитории GitHub для размещения конфигураций малвари, — говорят исследователи. — Когда правоохранители или ИБ-специалисты блокируют их управляющую инфраструктуру, Astaroth просто загружает свежие конфигурации с GitHub и продолжает работать».





По данным компании, активность Astaroth преимущественно сосредоточена в Бразилии, но также банковская малварь атакует различные страны Латинской Америки, включая Мексику, Уругвай, Аргентину, Парагвай, Чили, Боливию, Перу, Эквадор, Колумбию, Венесуэлу и Панаму.


Новые атаки Astaroth мало отличаются от обычной схемы: они также начинаются с фишингового письма, якобы связанного с DocuSign. В послании содержится ссылка для скачивания заархивированного ярлыка Windows (.LNK), и при открытии этого файла на скомпрометированный хост устанавливается малварь.


LNK-файл содержит обфусцированный jаvascript, который загружает дополнительный jаvascript с внешнего сервера. Загруженный jаvascript-код, в свою очередь, скачивает несколько файлов с одного из жестко закодированных серверов.


Среди них — AutoIt-скрипт, который выполняется jаvascript-пейлоадом, после чего загружает и запускает шеллкод. Тот, в свою очередь, загружает DLL на Delphi, чтобы расшифровать и внедрить малварь Astaroth в новосозданный процесс RegSvc.exe.


Напомним, что Astaroth представляет собой написанную на Delphi угрозу, которая обнаруживает, когда жертвы посещают банковские или криптовалютные сайты, и похищает их учетные данные посредством перехвата нажатий клавиш. После этого захваченная информация отправляется операторам вредоноса через обратный прокси Ngrok.


Целевыми для малвари являются сайты бразильских финансовых учреждений (caixa.gov.br, safra.com.br, itau.com.br, bancooriginal.com.br, santandernet.com.br и btgpactual.com), а также сайты, связанные с криптовалютами (etherscan.io, binance.com, bitcointrade.com.br, и localbitcoins.com).


Также отмечается, что Astaroth защищен от анализа и автоматически завершает работу при обнаружении эмуляторов, отладчиков и инструментов вроде QEMU Guest Agent, HookExplorer, IDA Pro, ImmunityDebugger, PE Tools, WinDbg, Wireshark и других.


На хосте троян закрепляется путем создания LNK-файла в папке автозагрузки Windows, который запускает AutoIt-скрипт для автоматического запуска малвари после перезагрузки системы.


Более того, начальный URL, к которому обращается jаvascript внутри LNK-файла, доступен только из определенных регионов, и малварь проверяет системную локаль машины и не запускается, если язык системы — английский или регион установлен как США.


«Astaroth использует GitHub для обновления конфигурации, если управляющие серверы недоступны, размещая изображения на GitHub и применяя стеганографию, чтобы скрыть эту информацию на виду у всех», — поясняют в McAfee.





То есть малварь использует легитимную платформу для размещения конфигурационных файлов и превращает ее в устойчивую резервную инфраструктуру на случай недоступности основных управляющих серверов.


Исследователи сообщают, что совместно со специалистами GitHub удалили репозитории Astaroth с платформы и временно нейтрализовали операции банкера.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Специалисты McAfee Labs изучили новую кампанию по распространению банковского трояна Astaroth. Теперь вредонос использует GitHub в качестве основы своих операций, чтобы сохранять устойчивость даже при блокировке инфраструктуры. «Вместо того чтобы полагаться исключительно на традиционные управляющие серверы, которые можно заблокировать, атакующие используют репозитории GitHub для размещения конфигураций малвари, — говорят исследователи. — Когда правоохранители или ИБ-специалисты блокируют их управляющую инфраструктуру, Astaroth просто загружает свежие конфигурации с GitHub и продолжает работать». По данным компании, активность Astaroth преимущественно сосредоточена в Бразилии, но также банковская малварь атакует различные страны Латинской Америки, включая Мексику, Уругвай, Аргентину, Парагвай, Чили, Боливию, Перу, Эквадор, Колумбию, Венесуэлу и Панаму. Новые атаки Astaroth мало отличаются от обычной схемы: они также начинаются с фишингового письма, якобы связанного с DocuSign. В послании содержится ссылка для скачивания заархивированного ярлыка Windows (.LNK), и при открытии этого файла на скомпрометированный хост устанавливается малварь. LNK-файл содержит обфусцированный jаvascript, который загружает дополнительный jаvascript с внешнего сервера. Загруженный jаvascript-код, в свою очередь, скачивает несколько файлов с одного из жестко закодированных серверов. Среди них — AutoIt-скрипт, который выполняется jаvascript-пейлоадом, после чего загружает и запускает шеллкод. Тот, в свою очередь, загружает DLL на Delphi, чтобы расшифровать и внедрить малварь Astaroth в новосозданный процесс RegSvc.exe. Напомним, что Astaroth представляет собой написанную на Delphi угрозу, которая обнаруживает, когда жертвы посещают банковские или криптовалютные сайты, и похищает их учетные данные посредством перехвата нажатий клавиш. После этого захваченная информация отправляется операторам вредоноса через обратный прокси Ngrok. Целевыми для малвари являются сайты бразильских финансовых учреждений (caixa.gov.br, safra.com.br, itau.com.br, bancooriginal.com.br, santandernet.com.br и btgpactual.com), а также сайты, связанные с криптовалютами (etherscan.io, binance.com, bitcointrade.com.br, и localbitcoins.com). Также отмечается, что Astaroth защищен от анализа и автоматически завершает работу при обнаружении эмуляторов, отладчиков и инструментов вроде QEMU Guest Agent, HookExplorer, IDA Pro, ImmunityDebugger, PE Tools, WinDbg, Wireshark и других. На хосте троян закрепляется путем создания LNK-файла в папке автозагрузки Windows, который запускает AutoIt-скрипт для автоматического запуска малвари после перезагрузки системы. Более того, начальный URL, к которому обращается jаvascript внутри LNK-файла, доступен только из определенных регионов, и малварь проверяет системную локаль машины и не запускается, если язык системы — английский или регион установлен как США. «Astaroth использует GitHub для обновления конфигурации, если управляющие серверы недоступны, размещая изображения на GitHub и применяя стеганографию, чтобы скрыть эту информацию на виду у всех», — поясняют в McAfee. То есть малварь использует легитимную платформу для размещения конфигурационных файлов и превращает ее в устойчивую резервную инфраструктуру на случай недоступности основных управляющих серверов. Исследователи сообщают, что совместно со специалистами GitHub удалили репозитории Astaroth с платформы и временно нейтрализовали операции банкера.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: