Инфостилер Astaroth впервые был замечен специалистами еще в 2018 году. К примеру, о малвари рассказывали аналитики компаний  IBM и Cofense. Тогда, равно как и сейчас, Astaroth атаковал в основном пользователей из Бразилии (реже в странах Европы) и задействовал для работы различные легитимные решения, к примеру, эксплуатировал интерфейс командной строки WMIC для тайной загрузки и установки вредоносных пейлоадов.

За прошедшее с тех пор время Astaroth ­превратился в один из наиболее сложных и скрытных видов вредоносного ПО: инфостилер использует множество антианалитических и антиsandbox механик, что крайне затрудняет как обнаружение малвари, так и изучение ее операций.

В новом отчете, опубликованном на этой неделе экспертами Cisco Talos, сообщается, что Astaroth продолжает развиваться. Для распространения троян по-прежнему полагается на почтовый спам и бесфайловые атаки (LOLbins), но также он получил два важных обновления.­

Первым из них стала вышеупомянутая большая подборка антианалитических и антиsandbox механик. Так, малварь выполняет перед выполнением различные проверки , чтобы убедиться, что работает на реальном компьютере, а в песочнице, где ее могут изучить ИБ-исследователи. Это помогает  Astaroth скрывать свои пейлоады и оставаться незамеченной.

Однако вышеописанными препонами разработчики трояна не ограничились. Так, после последнего обновления Astaroth стал использовать описания каналов на YouTube, чтобы скрывать URL своих управляющих серверов от любопытных глаз.

Исследователи объясняют, что после того, как троян заразил машину жертвы, он подключается к специальному каналу на YouTube и обращается к полю описания этого канала. Поле содержит зашифрованный и закодированный base64 текст с URL-адресами управляющих серверов. Расшифровав данные, Astaroth подключается к этим URL-адресам, чтобы получить новые команды от своих операторов и предать им похищенную ­информацию.

Ранее похожую тактику уже эксплуатировали авторы малвари Janicab (в 2015 году), а также операторы ботнета Stantinko (в 2019 году). Но в случае Astaroth данный способ сокрытия URL-адресов является лишь одним из трех методов, которые малварь использует для обнаружения и подключения к своим C&C-серверам. По мнению аналитиков Cisco Talos, это лишний раз демонстрирует высокую сложность Astaroth по сравнению с другими вредоносными кампаниями.­

Теги: CSS