Дослідники McAfee Labs задокументували оновлену кампанію банківського трояна Astaroth, у якій зловмисники використовують GitHub як резервну інфраструктуру та канал оновлень. Завдяки цьому шкідлива програма зберігає життєздатність навіть після блокування C2: конфігурації підвантажуються з репозиторіїв і миттєво підхоплюються інфікованими хостами.
GitHub і стеганографія: стійкий канал конфігурацій
Ключова інновація кампанії — перенесення конфігурацій на GitHub із застосуванням стеганографії: параметри приховані в зображеннях, розміщених у публічних репозиторіях. Такий підхід ускладнює детект на мережевому рівні й маскує трафік під легітимну взаємодію з популярною платформою розробників. За повідомленням McAfee, у взаємодії з фахівцями GitHub пов’язані репозиторії були видалені, що тимчасово порушило ланцюг оновлень.
Географія атак і цільовий профіль: банки та криптовалюта
Основний вектор Astaroth традиційно націлений на Бразилію, однак активність охоплює й інші країни Латинської Америки: Мексику, Уругвай, Аргентину, Парагвай, Чилі, Болівію, Перу, Еквадор, Колумбію, Венесуелу та Панаму. Троян орієнтований на банківські та криптовалютні сервіси, викрадає облікові дані, перехоплює натискання клавіш і спостерігає за доступом до доменів фінансових установ і бірж. Для ексфільтрації застосовується зворотний проксі ngrok, що допомагає маскувати канали зв’язку.
Ланцюжок інфікування: фішинг DocuSign, LNK і AutoIt
Доставка шкідливого ПЗ стартує з фішингових листів, які імітують документообіг DocuSign. Потерпілий переходить за посиланням на архів із ярликом Windows (.LNK). Запуск ярлика запускає каскад завантажувачів і зрештою — виконання корисного навантаження.
Обфускація та інʼєкція в RegSvc.exe
Всередині LNK міститься обфускований JavaScript, який підтягує додатковий скрипт із зовнішнього вузла та завантажує набір файлів, включно з AutoIt‑скриптом. Далі виконується шелкод, який завантажує DLL на Delphi, розшифровує основний модуль Astaroth і впроваджує його в новостворений процес RegSvc.exe. Багатоступенева архітектура та ланцюжок з різних технологій ускладнюють статичний аналіз і допомагають оминати сигнатурні механізми захисту.
Антианаліз, персистентність і геофільтрація
Astaroth перевіряє середовище виконання та завершує роботу при виявленні інструментів аналізу (IDA Pro, WinDbg, Wireshark, Immunity Debugger, PE Tools) або ознак віртуалізації. Закріплення у системі забезпечується LNK у автозавантаженні, що запускає AutoIt під час старту ОС. Також використовується географічна фільтрація: первинні URL працюють лише з визначених регіонів; при англійській локалі чи регіоні США виконання блокується, що знижує шанси детекту на інфраструктурі дослідників.
Що це означає для SOC та ІБ-команд
Зловмисники активно експлуатують легітимні платформи (GitHub) і тактики приховування (стеганографія, багатоступеневі завантажувачі), зменшуючи ефективність як мережевих, так і файлових сигнатур. Навіть після відсікання C2 зберігається резервний канал розповсюдження конфігурацій, тож командам захисту потрібна поведінкова аналітика і розширений набір індикаторів.
Практичні рекомендації: профілактика та виявлення
Пошта та контент-фільтрація: блокуйте вкладення та архіви з .LNK; впроваджуйте DMARC, SPF, DKIM; навчайте співробітників перевіряти домени й посилання DocuSign.
Контроль скриптів і політик виконання: обмежте запуск JavaScript/WSH і AutoIt з користувацьких каталогів через AppLocker/WDAC або політики обмеження програм.
EDR і телеметрія: відслідковуйте ланцюжки виду LNK → wscript/cscript → AutoIt → shellcode → інʼєкція в RegSvc.exe; фіксуйте створення LNK у автозавантаженні, а також нетипові процеси з мережевою активністю до ngrok.
Мережевий моніторинг: контролюйте звернення до raw‑контенту GitHub, особливо завантаження зображень у нетипових сценаріях; застосовуйте allow‑list для вихідних з’єднань і блокуйте сервіси тунелювання за потреби.
Динамічний аналіз: використовуйте песочниці з імітацією регіональних параметрів, детект антивідлагоджувальних технік і сценаріїв геоблокування.
Кампанія Astaroth демонструє зрілий підхід до живучості шкідливих операцій: резервування на GitHub, стеганографія та геофільтрація ускладнюють виявлення й реагування. Організаціям варто переглянути політики щодо .LNK та скриптів, посилити контроль трафіку до GitHub і сервісів тунелювання, а також впровадити поведінкові правила в EDR. Проактивна гігієна, багаторівневий захист і регулярні тренінги користувачів залишаються найкращою стратегією для зниження ризику компрометації.
