نبه باحثون في الأمن السيبراني إلى حملة جديدة توزّع حصان طروادة المصارف المعروف باسم Astaroth، حيث يوظّف المهاجمون مستودعات GitHub كعمود فقري لبنيتهم التحتية ليضمنوا استمرار العمليات حتى بعد إغلاق خوادم التحكم التقليدية. قال باحثو McAfee Labs، هارشيل باتيل و برابوده تشاكرافورتي، إن المهاجمين بدلوا الاعتماد على خوادم C2 القابلة للإيقاف إلى استضافة تهيئات البرمجية الخبيثة على مستودعات GitHub، لتمكّن الحملة من سحب تهيئات جديدة والاستمرار في التنفيذ عند تعطيل البنية الأساسية الأساسية.
سلسلة الهجوم وأساليب التوزيع
تركز النشاطات، وفق ما ذكرت الشركة، بشكل أساسي على البرازيل، مع استهداف موسّع لبلدان أمريكا اللاتينية مثل المكسيك والأوروغواي والأرجنتين والباراغواي وتشيلي وبوليفيا وبيرو والإكوادور وكولومبيا وفنزويلا وبنما. تبدأ السلسلة الهجومية برسائل تصيّد محاكاة لخدمة DocuSign تحوي رابطًا ينزل ملفًا مضغوطًا يحتوي على اختصار ويندوز (.lnk). عند فتح الاختصار ينفّذ جافاسكربت مشفّر يقوم بتحميل جافاسكربت إضافي من خادم خارجي، الذي يحمّل بدوره مجموعة من الملفات من خوادم مضمّنة عشوائيًا.
تشمل هذه الملفات سكربت AutoIt ينفّذ عبر جافاسكربت، ثم يقوم بتحميل شيلكود يحمّل DLL مبنيًا بلغة Delphi ليُفكّك ويحقن برمجية Astaroth داخل عملية RegSvc.exe التي أنشأها المُهاجمون.
قدرات المراقبة والسرقة والاتصال بالخوادم الاحتياطية
Astaroth، المكتوب بلغة Delphi، مبرمج لمراقبة زيارات الضحية لمواقع الخدمات المصرفية أو منصات العملات المشفّرة وسرقة بيانات الدخول عبر تسجيل ضغطات المفاتيح (keylogging). يعمل بالتحقق كل ثانية من اسم نافذة المتصفح النشطة وما إذا كانت تعرض موقعًا مصرفيًا؛ وفي حال توفر الشروط يجري اعتراض أحداث لوحة المفاتيح لتسجيل بيانات الاعتماد. من بين المواقع المستهدفة أمثلة مثل caixa.gov[.]br، safra.com[.]br، itau.com[.]br، bancooriginal.com[.]br، santandernet.com[.]br، btgpactual[.]com، etherscan[.]io، binance[.]com، bitcointrade.com[.]br، metamask[.]io، foxbit.com[.]br، localbitcoins[.]com.
تنقل المعلومات المسروقة إلى المهاجمين عبر نفق Ngrok العكسي، ما يمكّن الاستغلال عن بُعد دون الاعتماد الكامل على خوادم C2 التقليدية.
ثغرات التحليل والمثابرة على النظام
تتضمن آليات مقاومة التحليل إيقاف تنفيذ البرمجية تلقائيًا عند كشفها لوجود أدوات المحاكاة أو التصحيح والتحليل مثل QEMU Guest Agent، HookExplorer، IDA Pro، ImmunityDebugger، PE Tools، WinDbg، وWireshark، ما يصعّب فحصها. كما تؤمّن المضيف عن طريق إسقاط ملف LNK في مجلد Startup لنظام ويندوز لتشغيل سكربت AutoIt تلقائيًا عند إعادة التشغيل، ما يعزّز إمكانية الاستمرارية بعد إعادة تشغيل الجهاز.
إضافة إلى ذلك، تُطبّق قيود جغرافية ولغوية؛ فالروابط المضمّنة تُقيّد بالبلد (geofencing) وتتحقق البرمجية من أن إعدادات النظام locale ليست بالإنجليزية أو الولايات المتحدة، ما يساعد على استهداف ضحايا في مناطق معينة وتجنّب بيئات الباحثين الأمنيين.
الأهم من ذلك أن Astaroth لا يكتفي بمنصات C2 التقليدية؛ فحين تصبح خوادم التحكم غير متاحة، تقوم البرمجية بسحب تهيئات محدثة من مستودعات GitHub عن طريق استضافة صور تتضمن البيانات مخفية بتقنية الستيجانوغرافي (steganography)، ما يتيح لها استخدام منصة شرعية كنسخة احتياطية لصون إعداداتها وعودتها إلى العمل. عملت McAfee بالتنسيق مع ميكروسوفت لإزالة المستودعات المعنية، ما أدى إلى تعطيل مؤقت للعمليات.
