Инфостилер Astaroth впервые был замечен специалистами еще в 2018 году. К примеру, о малвари рассказывали аналитики компаний IBM и Cofense. Тогда, равно как и сейчас, Astaroth атаковал в основном пользователей из Бразилии (реже в странах Европы) и задействовал для работы различные легитимные решения, к примеру, эксплуатировал интерфейс командной строки WMIC для тайной загрузки и установки вредоносных пейлоадов.
За прошедшее с тех пор время Astaroth превратился в один из наиболее сложных и скрытных видов вредоносного ПО: инфостилер использует множество антианалитических и антиsandbox механик, что крайне затрудняет как обнаружение малвари, так и изучение ее операций.
В новом отчете, опубликованном на этой неделе экспертами Cisco Talos, сообщается, что Astaroth продолжает развиваться. Для распространения троян по-прежнему полагается на почтовый спам и бесфайловые атаки (LOLbins), но также он получил два важных обновления.
Первым из них стала вышеупомянутая большая подборка антианалитических и антиsandbox механик. Так, малварь выполняет перед выполнением различные проверки , чтобы убедиться, что работает на реальном компьютере, а в песочнице, где ее могут изучить ИБ-исследователи. Это помогает Astaroth скрывать свои пейлоады и оставаться незамеченной.
«Astaroth скрытен по своей природе, разработчики сделали все возможное, чтобы обеспечить ему успешную работу, — пишут эксперты Cisco Talos. — Они внедрили [в Astaroth] путаный лабиринт, состоящий из антианалитических и антиsandbox проверок, призванных предотвратить обнаружение или анализ малвари. Все начинается с эффективных и действенных приманок, продолжается многочисленными слоями обфускации, и это еще до того, как [Astaroth] продемонстрирует какой-либо злой умысел. Затем приходит черед тщательных проверок в поисках различных инструментов и техник, которые могут использовать как исследователями, так и защищенными средами вроде песочниц. Эту малварь очень трудно анализировать из-за ее природы».
Однако вышеописанными препонами разработчики трояна не ограничились. Так, после последнего обновления Astaroth стал использовать описания каналов на YouTube, чтобы скрывать URL своих управляющих серверов от любопытных глаз.
Исследователи объясняют, что после того, как троян заразил машину жертвы, он подключается к специальному каналу на YouTube и обращается к полю описания этого канала. Поле содержит зашифрованный и закодированный base64 текст с URL-адресами управляющих серверов. Расшифровав данные, Astaroth подключается к этим URL-адресам, чтобы получить новые команды от своих операторов и предать им похищенную информацию.
Ранее похожую тактику уже эксплуатировали авторы малвари Janicab (в 2015 году), а также операторы ботнета Stantinko (в 2019 году). Но в случае Astaroth данный способ сокрытия URL-адресов является лишь одним из трех методов, которые малварь использует для обнаружения и подключения к своим C&C-серверам. По мнению аналитиков Cisco Talos, это лишний раз демонстрирует высокую сложность Astaroth по сравнению с другими вредоносными кампаниями.
