サイバーニュース.jp

世界のサイバーなニュースを配信

Astarothバンキングマルウェア、設定ファイルのホスティングにGitHubを悪用

カテゴリ:

, , , , , , , , ,

概要:Astarothマルウェアの新たな脅威

McAfeeの脅威調査チームは、Astarothバンキングマルウェアの新たなキャンペーンを発見しました。この最新の亜種は、従来のコマンド&コントロール(C2)サーバーへの依存を捨て、GitHubリポジトリを悪用して重要なマルウェア設定ファイルをホスティングするという、マルウェアインフラ戦略における著しい進化を示しています。これにより、法執行機関やセキュリティ研究者によるC2サーバーの妨害後も、マルウェアは継続的な運用を確保できます。

巧妙な設定ファイル隠蔽:ステガノグラフィーの利用

Astarothマルウェアは、設定データを隠蔽するためにステガノグラフィー技術を採用しています。GitHubリポジトリにホストされている一見無害な画像ファイル内に、隠されたマルウェア設定が特定のデータパターンで埋め込まれています。Astarothは、これらの偽装された設定ファイルを2時間ごとに取得することで、運用パラメータを更新します。この手法により、GitHubは従来のC2サーバーよりもはるかに排除が困難な、強靭なバックアップインフラとして機能します。

地理的蔓延とGitHubの対応

McAfeeの研究者は、悪意のある画像ファイルを含む複数のGitHubリポジトリを特定し、GitHubのセキュリティチームと協力してこれらのリポジトリを削除しました。しかし、新しいリポジトリが容易に作成できることから、これはセキュリティ研究者とマルウェア運用者との間のいたちごっこが続くことを示唆しています。

洗練された感染経路

Astarothキャンペーンは、DocuSign通知や履歴書文書などのテーマを用いた巧妙に作成されたフィッシングメールを通じて開始されます。これらのメールには、圧縮されたWindowsショートカットファイル(.lnk)をダウンロードするリンクが含まれており、被害者がこれを開くと、mshta.exeを介して難読化されたJavaScriptコマンドが実行されます。

標的地域と金融機関

このマルウェアは、主に以下の南米諸国を標的としています。

  • ブラジル
  • メキシコ
  • ウルグアイ
  • アルゼンチン
  • パラグアイ
  • チリ
  • ボリビア
  • ペルー
  • エクアドル
  • コロンビア
  • ベネズエラ
  • パナマ

また、ポルトガルとイタリアも標的とされていますが、現在のキャンペーンは特にブラジルの銀行機関と暗号通貨プラットフォームに集中しています。具体的には、caixa.gov.br、safra.com.br、itau.com.brなどの主要なブラジル銀行サイトや、binance.com、metamask.io、bitcointrade.com.brなどの暗号通貨プラットフォームが狙われています。

高度な分析対策

Astarothの技術的な実装は、回避と永続化の両メカニズムにおいて著しい洗練度を示しています。マルウェアは、セキュリティ研究ツールを検出し、分析環境が特定された場合にシステムを自動的にシャットダウンする包括的な分析対策機能を組み込んでいます。分析ツールのブラックリストを保持し、システムロケール設定が米国または英語の構成に対応していないことを確認します。

永続化とC2通信

マルウェアは、システム起動フォルダにLNKファイルを戦略的に配置することで永続性を確保し、システム再起動時に自動実行されるようにします。C2インフラとの通信には、盗まれたバンキング認証情報とシステム情報を送信するためにカスタムバイナリプロトコルを使用し、GitHubベースの設定更新は偽装された画像ファイルの取得を通じて行われます。

認証情報窃取メカニズム

Astarothは、バンキング関連のブラウザウィンドウがフォーカスされているときにキーボードイベントをフックし、認証情報を窃取します。特に「chrome」、「ieframe」、「mozilla」などのウィンドウクラス名を持つプログラムを標的とします。盗まれた情報は、Ngrokリバースプロキシサービスを介して攻撃者に送信され、データ流出のさらなる難読化が図られます。

推奨される緩和策

組織や個人は、Astarothおよび同様のバンキングマルウェアの脅威に対して、いくつかの防御策を講じることができます。

  • メールセキュリティ意識の向上:不審な添付ファイルや未知の送信元からのリンクを避けることが重要です。
  • 二要素認証(2FA)の導入:バンキングおよび暗号通貨プラットフォームでの2FAは、認証情報が侵害された場合でも重要な追加セキュリティ層を提供します。
  • 最新のアンチウイルスソリューションの維持:リアルタイムスキャン機能を備えた最新のアンチウイルスソリューションは不可欠です(McAfeeはTrojan:Shortcut/SuspiciousLNK.OSRT、Trojan:Script/Astaroth.DLなどの包括的な検出を提供)。
  • 定期的なシステム更新とセキュリティパッチの適用:マルウェアキャンペーンが初期感染時に悪用する可能性のある脆弱性を排除するのに役立ちます。

結論

AstarothキャンペーンによるGitHubの悪用は、マルウェアインフラ戦略における憂慮すべき進化を表しており、正当なプラットフォームがいかに悪意のある目的のために武器化され得るかを示しています。GitHubのセキュリティチームは特定されたリポジトリを削除しましたが、この事件は、信頼されたインフラを悪用して永続性と従来のテイクダウン努力に対する耐性を確保する適応型マルウェアキャンペーンとの戦いにおける継続的な課題を浮き彫りにしています。

元記事: https://gbhackers.com/astaroth-banking-malware/

投稿をさらに読み込む