Eine aktuelle Analyse von McAfee Labs zeigt eine neue Verbreitungskampagne des Banking‑Trojaners Astaroth, in der Angreifer GitHub als Reserve- und Update-Infrastruktur einsetzen. Konfigurationsdaten werden dabei in Bildern versteckt und über öffentliche Repositories ausgeliefert. Selbst wenn klassische Command‑and‑Control‑Server (C2) ausfallen, kann die Malware so aktualisierte Einstellungen abrufen und aktiv bleiben.
GitHub und Steganografie: Wie legitime Plattformen zur Update-Pipeline werden
Das zentrale Novum der Kampagne ist der Einsatz von Steganografie: Konfigurationsparameter sind in Bilddateien eingebettet, die in GitHub‑Repos liegen. Abrufe erfolgen oft über Raw‑Endpunkte, was den Netzwerkverkehr unauffällig wirken lässt. Laut McAfee wurden betroffene Repositories in Zusammenarbeit mit GitHub entfernt, dennoch zeigt der Ansatz die Resilienz durch Nutzung vertrauenswürdiger Plattformen und verschleierter Inhalte.
Regionen und Ziele: Finanz- und Krypto-Dienste in Lateinamerika
Die Aktivität konzentriert sich weiterhin auf Brasilien, umfasst jedoch weite Teile Lateinamerikas, darunter Mexiko, Uruguay, Argentinien, Paraguay, Chile, Bolivien, Peru, Ecuador, Kolumbien, Venezuela und Panama. Im Fokus stehen Bank- und Krypto-Plattformen; beobachtet wurden u. a. Zugriffe auf Domains wie caixa.gov.br, itau.com.br, santandernet.com.br, btgpactual.com, etherscan.io und binance.com. Für die Exfiltration missbraucht Astaroth einen ngrok-Reverse-Proxy, der dynamische Tunnel und Provider-Blockaden umgeht.
Infektionskette: Von DocuSign-Phishing bis Prozessinjektion
Die Initialinfektion erfolgt über Phishing-E-Mails, die DocuSign imitieren und zu Archiven mit .LNK-Verknüpfungen führen. Nach dem Öffnen startet eine mehrstufige, stark verschleierte Ausführungskette.
Mehrstufige Loader und Obfuskation als Evasion
Die LNK-Datei enthält obfuskierten JavaScript, das weitere Skripte nachlädt. Anschließend werden aus vordefinierten Hosts zusätzliche Komponenten bezogen, darunter ein AutoIt-Skript. Dieses führt Shellcode aus, lädt eine in Delphi geschriebene DLL nach, entschlüsselt das Astaroth-Hauptmodul und injiziert es in einen neu erstellten RegSvc.exe-Prozess. Diese Kaskade erschwert statische Analysen und unterläuft einfache Signaturerkennung.
Anti-Analyse, Persistenz und Geofilterung
Astaroth beendet sich bei erkannten Analysewerkzeugen wie IDA Pro, WinDbg, Wireshark, ImmunityDebugger oder PE Tools und prüft auf Virtualisierung/Emulation. Die Persistenz erfolgt über eine LNK in der Autostart-Umgebung, die das AutoIt-Skript beim Systemstart lädt. Zusätzlich kommt Geofilterung zum Einsatz: Bestimmte URLs sind nur aus Zielregionen erreichbar; Systeme mit englischer Spracheinstellung oder US‑Region werden teilweise blockiert.
Einordnung: Was die Kampagne für SOC-Teams bedeutet
Die Kombination aus legitimen Cloud‑Diensten, steganografischen Techniken und mehrstufigen Loadern verlagert die Erkennung in Richtung verhaltensbasierter und kontextsensitiver Detektion. C2‑Takedowns allein reichen nicht aus, wenn Konfigurationen über Plattformen wie GitHub nachgeladen werden. Branchenberichte (z. B. McAfee Labs, GitHub Trust & Safety, Verizon DBIR 2024) unterstreichen, dass Phishing weiterhin einer der häufigsten Initialvektoren ist und Missbrauch legitimer Dienste die Sichtbarkeit klassischer Sicherheitskontrollen reduziert.
Empfehlungen: Erkennen und abwehren
Pochtschutz und Awareness: Blockieren oder isolieren Sie Archive mit .LNK-Dateien, härten Sie Mail-Gateways, setzen Sie DMARC, SPF, DKIM durch und schulen Sie Nutzer zur Prüfung vermeintlicher DocuSign‑Anfragen.
Script- und Ausführungsrichtlinien: Begrenzen Sie JavaScript/WSH und AutoIt in Nutzerpfaden via AppLocker/WDAC oder Richtlinien zur eingeschränkten Softwareausführung; erlauben Sie nur signierte, verwaltete Skripte.
EDR/Verhaltensregeln: Modellieren Sie Ketten wie LNK → wscript/cscript → AutoIt → Shellcode → RegSvc.exe‑Injektion; alarmieren Sie bei unerwartetem RegSvc.exe-Spawn, ungewöhnlichen AutoIt-Kindprozessen und neu erstellten Autostart‑LNKs.
Netzwerküberwachung: Prüfen Sie Abrufe von raw.githubusercontent.com insbesondere zu Bilddateien im untypischen Kontext; inventarisieren und kontrollieren Sie Verbindungen zu Reverse‑Proxies (einschließlich ngrok). Setzen Sie strikte Outbound‑Allowlists.
Analyse und Sandboxing: Aktivieren Sie Prüfungen auf Anti‑Debug‑Techniken; emulieren Sie regionale/lokalisierte Systemeinstellungen, um das echte Verhalten zu triggern; ergänzen Sie statische mit dynamischen Analysen.
Verlässliche Hintergrundinformationen liefert u. a. die Berichterstattung von McAfee Labs, Hinweise zu Missbrauchsmustern legitimer Plattformen finden sich bei GitHub Security, und Trends zu Initialvektoren werden im Verizon DBIR dokumentiert.
Die Astaroth-Kampagne verdeutlicht, wie effektiv Angreifer legitime Ökosysteme für langlebige Operationen nutzen. Organisationen sollten Richtlinien für .LNK-Dateien und Skriptausführung verschärfen, den Datenverkehr zu GitHub‑Raw‑Endpunkten und Tunneldiensten prüfen und verhaltensbasierte EDR‑Regeln priorisieren. Wer jetzt in mehrstufige Abwehr, robuste E‑Mail‑Security und kontinuierliche Nutzeraufklärung investiert, senkt das Risiko von Kontoübernahmen und Finanzbetrug nachhaltig.
