11.10.2025
1 хв
571
Кібердослідники McAfee виявили нову кампанію Astaroth banking trojan, де зловмисники використовують GitHub як інфраструктуру для управління шкідливим ПЗ, щоб залишатися активними навіть після блокування серверів керування (C2). На відміну від класичних ботнетів, Astaroth не покладається лише на C2-сервери. Коли правоохоронці знищують основну інфраструктуру, троян просто завантажує нові конфігурації з GitHub, що забезпечує безперервність атак.
Поточна кампанія зосереджена на Бразилії, але активність зафіксовано також у країнах Латинської Америки — Мексиці, Аргентині, Перу, Колумбії та інших. Поширення починається через фішингові листи, замасковані під DocuSign, які містять архів із ярликом Windows (.lnk). Після відкриття ярлик запускає ланцюг зараження через JavaScript, AutoIt і Delphi-бібліотеки.
Astaroth відстежує активність користувача у браузері, зокрема під час входу на сайти банків і криптобірж, записує натискання клавіш і передає дані через Ngrok-тунель.
Серед цілей:
caixa.gov.br, itau.com.br, santandernet.com.br, binance.com, metamask.io, localbitcoins.com тощо.
Шкідник уникає аналізу, закриваючи себе при виявленні Wireshark, IDA Pro чи Debugger, а для стійкості створює ярлик у папці автозавантаження Windows.
GitHub використовується не для зберігання коду, а для хостингу зображень зі стеганографічно вбудованими конфігураціями — це ускладнює виявлення.
Astaroth — добре відомий банківський троян на Delphi, що з’явився у 2018 році. Його оператори неодноразово змінювали техніки виживання, і нова версія демонструє зміщення до хмарних і публічних платформ.
У 2024 році Google та Trend Micro вже попереджали про групи PINEAPPLE і Water Makara, які поширювали попередні варіанти цього ПЗ через фішинг. Тепер же McAfee Labs повідомляє, що GitHub став “резервною мережею” для конфігурацій Astaroth, і попри тимчасове видалення репозиторіїв, оператори можуть швидко створити нові. Використання GitHub для керування шкідливим ПЗ — новий рівень еволюції банківських троянів. Це дозволяє зловмисникам ховатися за легітимними доменами та мінімізувати ризик виявлення. Інцидент із Astaroth показує, що навіть безпечні платформи розробників можуть бути перетворені на інструмент кібератак, якщо відсутній контроль за опублікованим контентом.
