کمیته رکن چهارم– محققان امنیت سایبری نسبت به کمپینی هشدار دادهاند که در آن بدافزار بانکی Astaroth با بهرهگیری از پلتفرم GitHub، فعالیتهای مخرب خود را حتی پس از مسدودسازی زیرساختهای اصلی ادامه میدهد.
به گزارش کمیته رکن چهارم، این حملات عمدتاً کاربران در برزیل را هدف قرار داده و از طریق ایمیلهای فیشینگ که حاوی فایلهای فشرده با محتوای فایل میانبر هستند، آغاز میشود. با اجرای این فایل، زنجیرهای از اسکریپتهای جاوا و AutoIt فعال شده و بدافزار در قالب یک فایل DLL مبتنی بر Delphi در فرایندی سیستمی تزریق میگردد. برای تداوم فعالیت، یک فایل میانبر به پوشه راهاندازی ویندوز افزوده میشود.
بدافزار Astaroth اطلاعات ورود کاربران به وبسایتهای بانکی و رمزارز را از طریق keylogging جمعآوری کرده و آنها را از راههای پنهان به مهاجمان ارسال میکند. این بدافزار همچنین از روشهای ضدتحلیل مانند شناسایی ابزارهای دیباگ و محیطهای مجازی استفاده میکند تا از بررسی کارشناسان امنیتی جلوگیری کند. همچنین با بررسی موقعیت جغرافیایی سیستم، از اجرا در برخی مناطق از جمله ایالات متحده خودداری میکند.
از مهمترین روشهای این کمپین، استفاده از تصاویر حاوی دادههای رمزگذاریشده روی پلتفرم GitHub است که به بدافزار امکان میدهد بدون تکیه بر سرورهای سنتی، پیکربندیهای جدید را دریافت و اجرا کند.
این شیوه جدید نشاندهنده پیشرفت روشهای حملات سایبری و ضرورت تقویت آموزشهای امنیتی، استفاده از ابزارهای مقابله با فیشینگ و بررسی مستمر فایلهای اجرایی در سیستمهای سازمانی است.
