Обычный PNG, а внутри — троян. Теперь даже картинка может украсть ваши деньги

Специалисты McAfee сообщили о новой активности банковского трояна Astaroth, который начал использовать GitHub в качестве устойчивого канала доставки конфигурационных данных. Такой подход позволяет злоумышленникам сохранять контроль над заражёнными устройствами даже после отключения основных командных серверов, значительно повышая живучесть малвари и усложняя её нейтрализацию.

Атака начинается с фишингового письма, маскирующегося под уведомление от популярных сервисов вроде DocuSign или содержащее якобы резюме соискателя. В теле письма размещена ссылка, которая ведёт на скачивание ZIP-архива. Внутри находится файл-ярлык (.lnk), запускающий скрытый JavaScript через mshta.exe. Этот скрипт скачивает новый набор файлов с удалённого сервера, доступ к которому ограничен по географическому признаку — вредонос загружается только на устройствах в целевых регионах.

Загруженный набор включает AutoIT-скрипт, интерпретатор AutoIT, зашифрованное тело самого трояна и отдельный конфигурационный файл. Скрипт разворачивает в памяти шеллкод и внедряет DLL-файл в процесс RegSvc.exe, используя техники обхода анализа и подмену стандартного API kernel32.dll. Загруженный модуль, написанный на Delphi, тщательно проверяет окружение: при обнаружении песочницы, отладчика или системы с англоязычной локалью выполнение немедленно прекращается.

Astaroth постоянно отслеживает, какие окна открыты на экране. Если пользователь заходит на сайт банка или криптосервиса, троян активирует кейлоггер, перехватывая все нажатия клавиш. Он ориентируется на названия классов окон, таких как chrome, mozilla, ieframe и другие. Среди целевых ресурсов указаны сайты крупнейших банков Бразилии и криптовалютные платформы, включая Binance, Metamask, Etherscan и LocalBitcoins. Все украденные данные передаются на сервер злоумышленников с помощью собственного протокола либо через сервис обратного проксирования Ngrok.

Особенность этой кампании в том, что Astaroth использует GitHub для обновления своей конфигурации. Каждые два часа троян загружает PNG-изображение из открытого репозитория, в котором с помощью стеганографии спрятан зашифрованный конфиг. Обнаруженные репозитории содержали изображения с заранее определённым форматом именования и были оперативно удалены по запросу исследователей. Однако сам подход показывает, как легитимные платформы можно использовать как запасной канал связи для вредоносных программ.

Для закрепления в системе троян помещает ярлык в папку автозагрузки, обеспечивая автоматический запуск при каждом включении компьютера. Несмотря на техническую сложность атаки, основной вектор по-прежнему основан на социальной инженерии и доверии пользователей к электронным письмам.

В ходе расследования специалисты выяснили, что основная география заражений сосредоточена в Южной Америке — в первую очередь в Бразилии, но также в Аргентине, Колумбии, Чили, Перу, Венесуэле и других странах региона. Возможна и активность в Португалии и Италии.

McAfee подчёркивает, что подобные схемы подчёркивают необходимость более внимательной работы с открытыми платформами, такими как GitHub, поскольку злоумышленники всё чаще используют их для обхода традиционных механизмов блокировки. Компания уже передала информацию о вредоносных репозиториях, которые были удалены в кратчайшие сроки, временно нарушив цепочку обновлений Astaroth.