Astaroth Bankacılık Trojanı Nedir?
Astaroth, bankacılık trojanı olarak bilinen ve kullanıcıların finansal bilgilerini hedef alan bir zararlı yazılımdır. İlk olarak 2018’de ortaya çıkan Astaroth, zamanla çeşitli teknikler geliştirerek kendini sürekli güncelleyebilen bir yapıya bürünmüştür. Son dönemlerde, özellikle Brezilya‘da ciddi bir tehdit haline gelen Astaroth, farklı ülkeleri de hedef almaktadır. Özellikle Latin Amerika bölgesindeki ülkelerdeki bireylerin finansal bilgilerini çalmayı amaçlamaktadır.
Astaroth’un Çalışma Yöntemi
Astaroth, geleneksel komuta ve kontrol (C2) sunucularına bağımlı kalmadan, GitHub gibi platformları kullanarak çalışmaktadır. Araştırmalara göre, bu yöntem, zararlı yazılımın altyapısının kapatılması durumunda bile çalışmaya devam etmesini sağlamaktadır. McAfee Labs araştırmacıları, Astaroth’un GitHub üzerinde zararlı yazılım yapılandırmalarını sakladığını belirtmektedir. Bu sayede, güvenlik güçleri veya araştırmacılar saldırganların C2 altyapısını kapattığında, Astaroth güncel yapılandırmalarını GitHub’dan çekerek faaliyetlerine devam edebilmektedir.
Brezilya ve Latin Amerika Üzerindeki Etkisi
Bu kampanyanın temel odak noktası Brezilya olmakla birlikte, Meksika, Uruguay ve Arjantin gibi birçok Latin Amerika ülkesini de hedef almaktadır. Astaroth, daha önce de Brezilya’da benzer saldırılar gerçekleştirmiştir. 2024 yılının Temmuz ve Ekim aylarında Google ve Trend Micro, Astaroth’un kullanıldığı saldırıların varlığından haberdar etmiştir. Bu süreçte, phishing e-postaları ile zararlı yazılım dağıtımı yapılmıştır.
Phishing E-postaları ve İlk Aşama
Astaroth’un siber saldırı zinciri, genellikle DocuSign temalı bir phishing e-postası ile başlamaktadır. Bu e-posta, kullanıcıları indirilmeye hazır olan sıkıştırılmış bir Windows kısayolu (.lnk) dosyasına yönlendiren bir bağlantı içermektedir. Kullanıcı bu dosyayı açtığında, Astaroth zararlı yazılımı sistemde kurulur.
Bu LNK dosyası, obfuscate edilmiş JavaScript içermektedir ve dışardan ek JavaScript dosyalarını almak için tasarlanmıştır. Yeni alınan JavaScript kodu, önceden belirlenmiş sunuculardan çeşitli dosyaları indirmektedir. Bu dosyalar arasında, Astaroth’u çalıştırmak ve sistemde kalıcılığını sağlamak için gereksinim duyulan AutoIt betiği yer almaktadır.
Astaroth’un Özellikleri ve Hedefleri
Astaroth, Delphi programlama dili ile yazılmış bir zararlı yazılımdır ve kurbanların bankacılık veya kripto para sitelerindeki ziyaretlerini izler. Temel amacı, keylogging yöntemiyle kullanıcıların bilgilerini çalmaktır. Astaroth, aktarılan bilgileri Ngrok ters proxy kullanarak saldırganlara ulaştırmaktadır.
Astaroth’un hedef aldığı bazı web siteleri şunlardır:
- caixa.gov[.]br
- safra.com[.]br
- itau.com[.]br
- bancooriginal.com[.]br
- santandernet.com[.]br
- btgpactual[.]com
- etherscan[.]io
- binance[.]com
- bitcointrade.com[.]br
- metamask[.]io
- foxbit.com[.]br
- localbitcoins[.]com
Analiz Direnci ve Kalıcılık Mekanizmaları
Astaroth, analiz edilmekten kaçınmak için çeşitli teknikler kullanmaktadır. Zararlı yazılım, emülatör, hata ayıklayıcı ve analiz araçlarını tespit ettiğinde otomatik olarak kapanmaktadır. Bu yazılım ayrıca Windows başlatma klasörüne bir LNK dosyası yerleştirerek, sistem yeniden başlatıldığında otomatik olarak çalışmaya devam etmektedir.
Zararlı yazılım, hedef sistemin yerel ayarlarının İngilizce veya ABD’de olmadığını doğrulamak için de kontroller yapar. Bu sayede yalnızca belirli bölgelerdeki kullanıcılara saldırmakta ve daha etkili olmaktadır.
GitHub Kullanımı ve Altyapı Dayanıklılığı
Astaroth, GitHub’u zararlı yazılımlarını güncellemek için kullanarak, C2 sunucuları erişilemez hale geldiğinde bile çalışmaya devam etmektedir. GitHub üzerinde depolanan görüntüler aracılığıyla önemli bilgileri gizlemekte ve böylece görünüşte meşru bir platformu kullanarak kendi altyapısını güçlendirmektedir. McAfee, bu yapının etkisini geçici olarak azaltmak için GitHub üzerindeki ilgili depoları kaldırmaya çalışmıştır.
Sonuç olarak, Astaroth, gelişmiş teknikleri ile siber dünyada ciddi bir tehdit oluşturmaya devam etmektedir. Güvenliğin artırılması, kullanıcı farkındalığı ve güncel korunma yöntemlerinin uygulanması, bu tür tehditlerle başa çıkmada kritik öneme sahiptir.
