Devis de remise multi-licences
Données concernant les menaces Cheval de Troie bancaire Cheval de Troie bancaire Astaroth

Cheval de Troie bancaire Astaroth

Par Mezo en Cheval de Troie bancaire
Se traduisent par :

Des chercheurs en cybersécurité ont identifié une nouvelle campagne diffusant le cheval de Troie bancaire Astaroth, qui utilise délibérément des services légitimes comme solution de repli pour survivre aux démantèlements. Plutôt que de s'appuyer uniquement sur des serveurs de commande et de contrôle (C2) traditionnels, que les défenseurs peuvent localiser et perturber, les opérateurs hébergent les données de configuration du malware sur GitHub et les intègrent dans des images par stéganographie, permettant ainsi au malware de se rétablir et de poursuivre son activité même après la saisie ou la désactivation de l'infrastructure.

Comment GitHub et la stéganographie deviennent un C2 de secours

Les attaquants placent des blobs de configuration dans des images sur des dépôts GitHub publics. Lorsque le cheval de Troie ne peut pas atteindre ses serveurs C2 principaux, il récupère les données de configuration mises à jour de ces fichiers images, transformant ainsi une plateforme d'hébergement de code bien connue en un canal de distribution de sauvegarde résilient. Comme les données sont masquées dans les images, elles se fondent dans le trafic normal et les dépôts, ce qui complique la détection et le démantèlement. Les équipes de sécurité ont collaboré avec la plateforme Microsoft pour supprimer les dépôts incriminés, ce qui a temporairement perturbé la campagne. Cependant, la conception du cheval de Troie témoigne d'une volonté claire de résister aux futurs démantèlements.

Orientation géographique et activité antérieure

La campagne actuelle se concentre principalement au Brésil, bien qu'Astaroth cible historiquement un large éventail de pays d'Amérique latine, dont le Mexique, l'Uruguay, l'Argentine, le Paraguay, le Chili, la Bolivie, le Pérou, l'Équateur, la Colombie, le Venezuela et le Panama. Ce constat concorde avec les précédentes activités d'Astaroth : les chercheurs ont identifié des groupes similaires (identifiés comme PINEAPPLE et Water Makara) en juillet et octobre 2024, qui utilisaient des leurres d'hameçonnage pour diffuser la même famille de logiciels malveillants.

La chaîne d’infection

L'attaque commence généralement par un message d'hameçonnage DocuSign contenant un lien. Ce lien renvoie vers un fichier ZIP contenant un raccourci Windows (.lnk). L'ouverture du LNK lance un fichier JavaScript obfusqué qui récupère du code JavaScript supplémentaire sur des serveurs externes. Le code JavaScript récupéré télécharge ensuite plusieurs fichiers depuis l'un des serveurs codés en dur. Parmi ces fichiers figure un script AutoIt exécuté par la charge utile JavaScript ; ce script AutoIt charge et exécute le shellcode, qui charge ensuite une DLL Delphi. Cette DLL déchiffre la charge utile Astaroth et l'injecte dans un processus RegSvc.exe nouvellement créé, finalisant ainsi le déploiement.

Ce que fait Astaroth sur les hôtes infectés

Astaroth est implémenté en Delphi et conçu pour surveiller l'activité web des utilisateurs, en se concentrant sur les visites de sites web liés aux banques et aux cryptomonnaies. Il vérifie la fenêtre active du navigateur toutes les secondes ; lorsqu'il détecte un site bancaire ou crypto ciblé, il intercepte les événements clavier pour capturer les frappes et récupérer les identifiants. Le cheval de Troie transmet les données volées aux attaquants via un tunnel proxy inverse Ngrok, permettant l'exfiltration même lorsque la connexion C2 directe est restreinte.

Exemples de cibles observées

Les chercheurs ont répertorié un ensemble de sites bancaires et liés à la cryptographie observés comme étant surveillés par le logiciel malveillant :

  • caixa.gov.br
  • safra.com.br
  • itau.com.br
  • bancooriginal.com.br
  • santandernet.com.br
  • btgpactual.com
  • etherscan.io
  • binance.com
  • bitcointrade.com.br
  • metamask.io
  • foxbit.com.br
  • localbitcoins.com

Capacités anti-analyse

Astaroth intègre de nombreuses techniques anti-analyse. Il analyse l'environnement à la recherche d'outils de virtualisation, d'émulation, de débogage et d'analyse courants (par exemple, QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark et autres outils similaires) et s'arrête automatiquement si de tels outils sont détectés. Ces vérifications compliquent l'analyse dynamique et le sandboxing pour les défenseurs.

Persistance, géorepérage et vérifications locales

Pour maintenir sa persistance, la campagne place un raccourci dans le dossier de démarrage de Windows qui appelle le script AutoIt au redémarrage, assurant ainsi le redémarrage automatique du malware. La chaîne d'infection inclut le géorepérage : l'URL initiale récupérée par le LNK est ciblée par région, et le malware vérifie également les paramètres régionaux du système ; il évite ainsi de s'exécuter sur les machines configurées en anglais ou en États-Unis. Ces mesures de protection réduisent le profil de ses victimes et réduisent les risques d'exposition accidentelle.

Impact opérationnel

En abusant de GitHub pour héberger des mises à jour de configuration furtives, les opérateurs ont créé un canal de secours léger et difficile à supprimer pour Astaroth. Les chercheurs se sont coordonnés avec la plateforme Microsoft pour supprimer les dépôts malveillants, ce qui a temporairement perturbé la campagne. L'utilisation de services légitimes comme solution de secours démontre la nécessité pour les défenseurs de surveiller les abus sur les plateformes cloud et d'hébergement de code dans le cadre de la chasse au contrôle technique.

Résumé

Cette campagne met en lumière deux tendances que les défenseurs doivent prendre en compte : (1) les acteurs malveillants utilisent de plus en plus des plateformes tierces reconnues comme infrastructure résiliente et (2) les logiciels malveillants modernes combinent plusieurs scripts et composants compilés (JavaScript → AutoIt → shellcode → Delphi DLL) pour compliquer l'analyse et la suppression de la persistance. La combinaison d'une configuration de secours basée sur GitHub, d'un géorepérage ciblé, de contrôles anti-analyse rigoureux et d'une surveillance de l'activité du navigateur fait d'Astaroth un cheval de Troie bancaire particulièrement résilient et attentatoire à la vie privée. La vigilance face aux leurres de phishing, la surveillance des activités inhabituelles des images GitHub et une détection robuste des terminaux qui identifie la chaîne à plusieurs étapes sont essentielles pour détecter et interrompre les infections.

Tendance

Le plus regardé

Chargement...