Astaroth Banking-Trojaner
Cybersicherheitsforscher haben eine neue Kampagne identifiziert, die den Banking-Trojaner Astaroth verbreitet und gezielt legitime Dienste als Ausweichmöglichkeit nutzt, um Angriffe zu überstehen. Anstatt sich ausschließlich auf herkömmliche Command-and-Control-Server (C2) zu verlassen, die von Angreifern lokalisiert und gestört werden können, hosten die Betreiber Malware-Konfigurationsdaten auf GitHub und betten sie mittels Steganografie in Bilder ein. Dadurch kann sich die Malware selbst nach der Beschlagnahmung oder Deaktivierung der Infrastruktur wiederherstellen und weiterarbeiten.
Inhaltsverzeichnis
Wie GitHub und Steganographie zu einem Backup-C2 werden
Die Angreifer platzieren Konfigurations-Blobs in Bildern auf öffentlichen GitHub-Repositories. Wenn der Trojaner seine primären C2-Server nicht erreichen kann, ruft er aktualisierte Konfigurationsdaten aus diesen Bilddateien ab – und verwandelt so eine bekannte Code-Hosting-Plattform in einen robusten Backup-Auslieferungskanal. Da die Daten in Bildern versteckt sind, mischen sie sich in den normalen Datenverkehr und die Repositories und erschweren so die Erkennung und Entfernung. Sicherheitsteams arbeiteten mit der Microsoft-eigenen Plattform zusammen, um die anstößigen Repositories zu entfernen, was die Kampagne vorübergehend unterbrach. Das Design zeigt jedoch deutlich die Absicht, zukünftigen Entfernungen entgegenzuwirken.
Geografischer Schwerpunkt und bisherige Aktivitäten
Die aktuelle Kampagne konzentriert sich vor allem auf Brasilien, obwohl Astaroth historisch gesehen eine breite Palette lateinamerikanischer Länder ins Visier nimmt, darunter Mexiko, Uruguay, Argentinien, Paraguay, Chile, Bolivien, Peru, Ecuador, Kolumbien, Venezuela und Panama. Dies steht im Einklang mit früheren Astaroth-Aktivitäten: Forscher identifizierten im Juli und Oktober 2024 verwandte Cluster (verfolgt als PINEAPPLE und Water Makara), die Phishing-Köder zur Verbreitung derselben Malware-Familie verwendeten.
Die Infektionskette
Der Angriff beginnt typischerweise mit einer Phishing-Nachricht im DocuSign-Stil, die einen Link enthält. Dieser Link liefert eine ZIP-Datei mit einer Windows-Verknüpfung (.lnk). Beim Öffnen der LNK wird ein verschleierter JavaScript-Stub gestartet, der weiteres JavaScript von extern gehosteten Servern abruft. Das abgerufene JavaScript lädt wiederum mehrere Dateien von einem der mehreren fest codierten Server herunter. Zu diesen Dateien gehört ein AutoIt-Skript, das von der JavaScript-Nutzlast ausgeführt wird. Das AutoIt-Skript lädt und führt Shellcode aus, der dann eine Delphi-basierte DLL lädt. Diese DLL entschlüsselt die Astaroth-Nutzlast und fügt sie in einen neu erstellten RegSvc.exe-Prozess ein – und schließt damit die Bereitstellung ab.
Was Astaroth auf infizierten Wirten macht
Astaroth ist in Delphi implementiert und überwacht die Webaktivitäten der Nutzer, insbesondere Besuche von Bank- und Kryptowährungs-Websites. Der Trojaner überprüft das aktive Browserfenster sekündlich. Sobald er eine angegriffene Bank- oder Krypto-Website erkennt, erfasst er Tastatureingaben und Anmeldeinformationen. Der Trojaner überträgt die gestohlenen Daten über einen Ngrok-Reverse-Proxy-Tunnel an die Angreifer zurück und ermöglicht so die Exfiltration selbst bei eingeschränkter direkter C2-Verbindung.
Beispiele für beobachtete Ziele
Die Forscher listeten eine Reihe von Bank- und Krypto-Websites auf, die von der Malware überwacht wurden:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
Anti-Analyse-Funktionen
Astaroth umfasst zahlreiche Anti-Analyse-Techniken. Es prüft die Umgebung auf Virtualisierungs-, Emulations-, Debugging- und gängige Analysetools (Beispiele sind QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark und ähnliche Tools) und beendet sich selbst, wenn solche Tools erkannt werden. Diese Prüfungen erschweren Verteidigern die dynamische Analyse und Sandboxing.
Persistenz, Geofencing und Gebietsschemaprüfungen
Um die Persistenz aufrechtzuerhalten, legt die Kampagne eine Verknüpfung im Windows-Autostart-Ordner ab, die beim Neustart das AutoIt-Skript aufruft und so dafür sorgt, dass die Malware automatisch neu gestartet wird. Die Infektionskette umfasst Geofencing: Die vom LNK abgerufene ursprüngliche URL ist regional ausgerichtet, und die Malware überprüft außerdem das Systemgebietsschema – sie vermeidet die Ausführung auf Computern mit englischer/US-amerikanischer Spracheinstellung. Diese Sicherheitsvorkehrungen schränken das Opferprofil ein und reduzieren die Gefahr einer versehentlichen Ansteckung.
Auswirkungen auf den Betrieb
Durch den Missbrauch von GitHub für heimliche Konfigurationsupdates schufen die Betreiber einen schlanken, schwer zu deaktivierenden Backup-Kanal für Astaroth. Die Forscher koordinierten die Entfernung der schädlichen Repositories mit der Microsoft-Plattform, was die Kampagne vorübergehend unterbrach. Die Nutzung legitimer Dienste als Fallback zeigt, dass Verteidiger den Missbrauch von Cloud- und Code-Hosting-Plattformen im Rahmen der C2-Jagd überwachen müssen.
Zusammenfassung
Diese Kampagne verdeutlicht zwei Trends, die Verteidiger berücksichtigen müssen: (1) Bedrohungsakteure nutzen zunehmend anerkannte Drittanbieterplattformen als robuste Infrastruktur und (2) moderne Malware kombiniert mehrere Skript- und Kompilierungskomponenten (JavaScript → AutoIt → Shellcode → Delphi DLL), um die Analyse und Persistenzentfernung zu erschweren. Die Kombination aus GitHub-basiertem Konfigurations-Fallback, gezieltem Geofencing, strengen Anti-Analyse-Checks und Browser-Aktivitätsüberwachung macht Astaroth zu einem besonders robusten und datenschutzschädigenden Banking-Trojaner. Wachsamkeit gegenüber Phishing-Ködern, die Überwachung ungewöhnlicher GitHub-Bildaktivitäten und eine robuste Endpunkterkennung, die die mehrstufige Kette erkennt, sind der Schlüssel zur Erkennung und Unterbrechung von Infektionen.
