Nhóm nghiên cứu mối đe dọa của McAfee gần đây đã phát hiện một chiến dịch Astaroth tinh vi mới, đánh dấu sự phát triển đáng kể trong chiến thuật hạ tầng mã độc Astaroth. Biến thể mới nhất này đã từ bỏ sự phụ thuộc vào máy chủ C2 (command-and-control) truyền thống, thay vào đó tận dụng các kho lưu trữ GitHub để lưu trữ các cấu hình phần mềm độc hại quan trọng.

Mã độc Astaroth chuyên đánh cắp thông tin ngân hàng đã tiến hóa vượt ra ngoài kiến trúc máy chủ C2 thông thường bằng cách khai thác hạ tầng hợp pháp của GitHub để duy trì hoạt động liên tục. Khi các cơ quan thực thi pháp luật hoặc nhà nghiên cứu bảo mật thành công trong việc vô hiệu hóa máy chủ C2 truyền thống, biến thể phần mềm độc hại này sẽ chuyển đổi liền mạch sang các tệp cấu hình được lưu trữ trên GitHub, đảm bảo hoạt động liên tục bất chấp các gián đoạn hạ tầng.

Cơ chế hoạt động và Độ bền vững của mã độc Astaroth

Tận dụng GitHub làm hạ tầng C2

Phần mềm độc hại sử dụng kỹ thuật steganography để che giấu dữ liệu cấu hình bên trong các tệp hình ảnh tưởng chừng vô hại được lưu trữ trên các kho lưu trữ GitHub.

Những hình ảnh này chứa các cấu hình phần mềm độc hại ẩn trong các mẫu dữ liệu cụ thể, cho phép Astaroth cập nhật các tham số hoạt động của nó mỗi hai giờ bằng cách lấy các tệp cấu hình được ngụy trang này.

Kỹ thuật này biến GitHub thành một hạ tầng dự phòng linh hoạt, khó loại bỏ hơn đáng kể so với các máy chủ C2 truyền thống. Các nhà nghiên cứu của McAfee đã xác định nhiều kho lưu trữ GitHub chứa các tệp hình ảnh độc hại này.

Họ đã hợp tác thành công với nhóm bảo mật của GitHub để gỡ bỏ các kho lưu trữ vi phạm. Tuy nhiên, việc tạo kho lưu trữ mới dễ dàng cho thấy đây là một cuộc chiến không ngừng giữa các nhà nghiên cứu bảo mật và các nhà điều hành phần mềm độc hại. Độc giả có thể tham khảo thêm chi tiết về phát hiện này tại báo cáo của McAfee.

Phương thức lây nhiễm ban đầu

Chiến dịch mã độc Astaroth khởi đầu thông qua các email lừa đảo (phishing) được soạn thảo cẩn thận, thường có chủ đề như thông báo DocuSign hoặc tài liệu hồ sơ xin việc.

Những email này chứa các liên kết tải xuống các tệp phím tắt Windows nén (.lnk). Khi nạn nhân không nghi ngờ mở, chúng sẽ thực thi các lệnh JavaScript bị làm rối thông qua mshta.exe.

Mục tiêu và Chức năng tấn công

Mục tiêu địa lý và ngành

Phần mềm độc hại Astaroth thể hiện khả năng nhắm mục tiêu địa lý tinh vi, chủ yếu tập trung vào các quốc gia Nam Mỹ, bao gồm:

• Brazil
• Mexico
• Uruguay
• Argentina
• Paraguay
• Chile
• Bolivia
• Peru
• Ecuador
• Colombia
• Venezuela
• Panama

Cách tiếp cận này cho thấy khả năng phục hồi chưa từng có chống lại các nỗ lực gỡ bỏ, vì kẻ tấn công có thể đơn giản lấy các cấu hình mới từ GitHub khi hạ tầng C2 chính trở nên không thể truy cập. Các mục tiêu bổ sung mở rộng sang Bồ Đào Nha và Ý, mặc dù chiến dịch hiện tại đặc biệt tập trung vào các tổ chức ngân hàng Brazil và các nền tảng tiền điện tử.

Cơ chế đánh cắp thông tin

Sau khi được cài đặt, mã độc Astaroth liên tục giám sát các cửa sổ trình duyệt liên quan đến ngân hàng và tiền điện tử, thực hiện chức năng keylogging để thu thập thông tin đăng nhập khi người dùng truy cập các nền tảng tài chính mục tiêu. Các địa chỉ API được lưu trữ trong một bảng nhảy ở đầu bộ nhớ shellcode.

Mã độc này nhắm mục tiêu cụ thể vào các trang web ngân hàng lớn của Brazil, bao gồm caixa.gov.br, safra.com.br và itau.com.br. Cùng với đó là các nền tảng tiền điện tử như binance.com, metamask.io và bitcointrade.com.br.

Đối với các hoạt động đánh cắp thông tin đăng nhập, Astaroth móc các sự kiện bàn phím đặc biệt khi các cửa sổ trình duyệt liên quan đến ngân hàng đang được tập trung, nhắm mục tiêu các chương trình có tên lớp cửa sổ chứa “chrome,” “ieframe,” “mozilla,” và các định danh trình duyệt khác. Thông tin bị đánh cắp sau đó được truyền đến kẻ tấn công sử dụng dịch vụ proxy ngược Ngrok, cung cấp thêm sự che đậy cho việc rò rỉ dữ liệu.

Kỹ thuật né tránh và Duy trì quyền truy cập

Tính năng chống phân tích

Việc triển khai kỹ thuật của Astaroth cho thấy sự tinh vi đáng kể trong cả cơ chế né tránh và duy trì quyền truy cập. Phần mềm độc hại này tích hợp các tính năng chống phân tích toàn diện, có khả năng phát hiện các công cụ nghiên cứu bảo mật.

Nếu môi trường phân tích được xác định, hệ thống sẽ tự động tắt. Nó duy trì một danh sách đen các công cụ phân tích và đảm bảo cài đặt ngôn ngữ hệ thống không tương ứng với cấu hình của Hoa Kỳ hoặc tiếng Anh.

Cơ chế duy trì quyền truy cập (Persistence)

Phần mềm độc hại đạt được sự duy trì quyền truy cập thông qua các tệp LNK được đặt chiến lược trong các thư mục khởi động hệ thống, đảm bảo tự động thực thi khi hệ thống khởi động lại. Giao tiếp với hạ tầng C2 sử dụng các giao thức nhị phân tùy chỉnh để truyền thông tin đăng nhập ngân hàng và thông tin hệ thống bị đánh cắp.

Trong khi đó, các bản cập nhật cấu hình dựa trên GitHub diễn ra thông qua việc truy xuất các tệp hình ảnh được ngụy trang. Sự bền vững này là một thách thức lớn đối với các nhà cung cấp an ninh mạng.

Biện pháp phòng ngừa và Bảo vệ an ninh mạng

Các tổ chức và cá nhân có thể triển khai một số biện pháp phòng thủ chống lại mã độc Astaroth và các mối đe dọa mạng tương tự từ phần mềm độc hại ngân hàng.

• Nâng cao nhận thức về bảo mật email: Nhấn mạnh tầm quan trọng của việc tránh các tệp đính kèm và liên kết đáng ngờ từ các nguồn không xác định.
• Triển khai xác thực hai yếu tố (2FA): Cung cấp các lớp bảo mật bổ sung quan trọng cho các nền tảng ngân hàng và tiền điện tử, ngay cả khi thông tin đăng nhập bị xâm phạm.
• Cập nhật giải pháp chống vi-rút: Duy trì các giải pháp chống vi-rút được cập nhật với khả năng quét thời gian thực là điều cần thiết. Ví dụ, McAfee đã cung cấp phạm vi phát hiện toàn diện bao gồm Trojan:Shortcut/SuspiciousLNK.OSRT, Trojan:Script/Astaroth.DL, và nhiều phát hiện dựa trên chữ ký khác.
• Cập nhật hệ thống và bản vá bảo mật thường xuyên: Giúp loại bỏ các lỗ hổng mà các chiến dịch phần mềm độc hại có thể khai thác trong các nỗ lực lây nhiễm ban đầu.

Việc Astaroth khai thác GitHub thể hiện một sự phát triển đáng lo ngại trong chiến thuật hạ tầng phần mềm độc hại, minh họa cách các nền tảng hợp pháp có thể bị vũ khí hóa cho các mục đích độc hại. Mặc dù nhóm bảo mật của GitHub đã gỡ bỏ thành công các kho lưu trữ được xác định, sự cố này nhấn mạnh những thách thức đang diễn ra trong việc chống lại các chiến dịch phần mềm độc hại thích ứng, tận dụng hạ tầng đáng tin cậy để duy trì và phục hồi chống lại các nỗ lực gỡ bỏ truyền thống. Đây là một ví dụ rõ ràng về các cuộc tấn công mạng ngày càng phức tạp.