СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:37
#ИБ

Кампания Astaroth: банковский троян распространяется через WhatsApp в Бразилии

Новая волна активности вредоносного ПО Astaroth нацелена на пользователей в Бразилии. Злоумышленники используют усовершенствованную цепочку заражения и технику распространения через WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta), чтобы обойти защиту и увеличить скорость репликации. Кампания сочетает несколько приемов — от замаскированных ZIP-архивов до легитимных интерпретаторов, включенных в пакет вредоносного ПО.

Как выглядит цепочка заражения

Атака начинается с сообщений в WhatsApp, содержащих вложение в виде вредоносного ZIP-архива. Характерные признаки кампании:

  • Имена файлов в архивах соответствуют определенному шаблону: комбинация цифр и шестнадцатеричных символов — это помогает усложнить статическое обнаружение.
  • Внутри архива находится запутанный загрузчик скриптов VBS, обычно размером от 50 до 100 КБ, специально созданный для затруднения анализа.
  • После извлечения и запуска VBS-скрипт инициирует дальнейшее выполнение вредоносного кода и разворачивает дополнительные компоненты.

Техническая архитектура: легитимные интерпретаторы и закодированные загрузчики

Astaroth использует комбинированный подход для обхода обнаружения:

  • В поставку включен легитимный интерпретатор AutoIt, который запускается вместе с закодированным загрузчиком.
  • Этот загрузчик расшифровывает и загружает основную полезную нагрузку Astaroth, что снижает эффективность статических сигнатурных методов детекции.
  • Архитектура модульная, что позволяет быстро заменять или добавлять компоненты и адаптироваться под меры безопасности.

По словам исследователей, «использование легитимных интерпретаторов в связке с кастомными загрузчиками — одна из ключевых тактик, позволяющих Astaroth сохранять устойчивость к традиционным средствам защиты».

Механизм репликации через WhatsApp

Особый интерес представляет механизм дальнейшего распространения. В составе пакета загрузчик разворачивает встроенный интерпретатор Python и вредоносный модуль zapbiu.py. Этот модуль обеспечивает автоматическую репликацию через функции обмена сообщениями платформы WhatsApp, отправляя зараженные файлы или ссылки контактам жертвы и тем самым расширяя зону поражения.

Почему это опасно

  • Комбинация запутанных VBS-скриптов, легитимных интерпретаторов и закодированных загрузчиков резко осложняет статический анализ и обнаружение.
  • Модульный дизайн позволяет злоумышленникам быстро менять тактики и заменять компоненты без полной переработки инфраструктуры.
  • Распространение через популярный мессенджер увеличивает скорость и охват заражения — вредоносный модуль использует доверительные отношения между контактами.

Рекомендации для пользователей и организаций

  • Не открывайте вложения и архивы, полученные от неизвестных или неожиданно приславших контактов в WhatsApp.
  • Отключите автоматическое извлечение/выполнение скриптов и запретите запуск неизвестных интерпретаторов на рабочих станциях.
  • Обновите антивирусные решения и настройки EDR — обращайте внимание на поведенческие индикаторы, а не только на сигнатуры.
  • Ограничьте возможность установки/запуска AutoIt и встроенных интерпретаторов Python на критичных системах.
  • Проводите регулярное обучение пользователей по фишингу и безопасному использованию мессенджеров.

Кампания Astaroth демонстрирует, что злоумышленники продолжают комбинировать социальную инженерию с техническими ухищрениями, чтобы обходить защиту. Повышенное внимание к вложениям в мессенджерах и обновленная защита конечных точек — ключевые меры по снижению рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: