Исследователи McAfee Labs задокументировали новую кампанию распространения банковского трояна Astaroth, в которой злоумышленники задействуют GitHub как резервную инфраструктуру. Такой подход повышает живучесть операции: даже при блокировке командно‑контрольных серверов вредоносная программа подхватывает обновленные конфигурации из репозиториев и продолжает работать.
GitHub как канал обновлений и резервная инфраструктура
Ключевое нововведение кампании — перенос конфигураций на GitHub с использованием стеганографии: параметры скрываются внутри изображений, размещенных в публичных репозиториях. Это усложняет детектирование и дает злоумышленникам устойчивый канал доставки настроек на случай, если основная C2‑инфраструктура будет выведена из строя. По данным McAfee, совместно со специалистами GitHub репозитории, связанные с Astaroth, были удалены, что временно нарушило цепочку обновлений.
География атак и профиль жертв
Активность Astaroth традиционно сосредоточена в Бразилии, однако кампания затрагивает и другие страны Латинской Америки: Мексику, Уругвай, Аргентину, Парагвай, Чили, Боливию, Перу, Эквадор, Колумбию, Венесуэлу и Панаму. Троян ориентирован на банковские и криптовалютные сервисы, отбирая учетные данные пользователей и перехватывая нажатия клавиш при посещении целевых доменов (например, caixa.gov.br, itau.com.br, santandernet.com.br, btgpactual.com, etherscan.io, binance.com и др.). Экфильтрация данных осуществляется через обратный прокси ngrok.
Цепочка заражения: от фишинга DocuSign до внедрения в RegSvc.exe
Сценарий доставки остается классическим: кампания начинается с фишинговых писем якобы от DocuSign. Получатель перенаправляется по ссылке на архив с файлом ярлыка Windows (.LNK). Открытие ярлыка инициирует многоступенчатую загрузку и выполнение полезной нагрузки.
Обфускация и многоступенчатые загрузчики (LNK, JavaScript, AutoIt)
LNK содержит обфусцированный JavaScript, который запрашивает дополнительный скрипт с внешнего сервера. Далее из жестко заданных хостов подгружается набор файлов, включая AutoIt‑скрипт. Он исполняет шеллкод, который загружает DLL на Delphi, расшифровывает основной модуль Astaroth и внедряет его в свежесозданный процесс RegSvc.exe. Такая каскадная архитектура усложняет статический анализ и повышает вероятность обхода средств защиты.
Антианализ, персистентность и геофильтрация
Для противодействия анализу Astaroth проверяет окружение и завершается при обнаружении отладчиков и инструментов реверс‑инжиниринга (например, IDA Pro, WinDbg, Wireshark, ImmunityDebugger, PE Tools), а также признаков виртуализированных или эмулированных сред. Персистентность обеспечивается через LNK в автозагрузке, запускающий AutoIt‑скрипт при старте системы. Дополнительно применяется географическая фильтрация: первоначальный URL доступен лишь из определенных регионов, а при английской локали или регионе США выполнение блокируется.
Почему это важно для SOC и ИБ-команд
Использование легитимных платформ (GitHub) и техник укрытия (стеганография, многоступенчатые загрузчики) — тенденция, усложняющая как сетевой, так и файловый детект. Даже при оперативной нейтрализации C2 злоумышленники сохраняют канал управления конфигурациями, что требует от защитных команд более широкого набора индикаторов и поведенческих правил.
Рекомендации по защите и обнаружению
Почтовая защита: блокируйте вложения и архивы с ярлыками .LNK; внедряйте DMARC, SPF и DKIM; обучайте сотрудников проверке ссылок и доменов DocuSign.
Контроль скриптов: ограничьте исполнение JavaScript/WSH и AutoIt из пользовательских каталогов через AppLocker/WDAC или политики ограниченного использования программ.
EDR/поведенческий детект: отслеживайте аномальные цепочки: LNK → wscript/cscript → AutoIt → шеллкод → появление/инъекция в RegSvc.exe; фиксируйте создание LNK в автозагрузке.
Сетевой мониторинг: выявляйте обращения к raw‑контенту GitHub, особенно к изображениям в нетипичном контексте; контролируйте трафик к сервисам обратных прокси (включая ngrok) и ограничивайте исходящие подключения по принципу минимально необходимых.
Анализ песочницы: применяйте детект антиотладочных техник и эмуляции; используйте динамический анализ с эмуляцией региональных параметров для триггера реального поведения.
Кампания Astaroth демонстрирует, как преступники переосмысляют использование легитимных платформ для повышения устойчивости своих операций. Организациям стоит пересмотреть политики обработки .LNK и сценариев, усилить контроль трафика к GitHub и сервисам туннелирования и внедрить поведенческие правила в EDR. Проактивная гигиена, многоуровневая защита и осведомленность сотрудников остаются ключевыми факторами снижения риска компрометации.
