PNG со скрытым трояном

Исследователи обнаружили новую схему распространения банковского трояна Astaroth. Атака начинается с фишинговых писем, маскирующихся под уведомления от известных сервисов. В письме содержится ссылка на ZIP-архив с вредоносным ярлыком, который запускает скрытый скрипт для загрузки основной нагрузки с серверов, доступных только для пользователей из целевых регионов.

Загруженный набор файлов использует сложные техники для скрытного внедрения в систему. Троян проверяет окружение и прекращает работу при обнаружении анализа. Его главная цель — отслеживание действий пользователя: при посещении банковских или криптовалютных сайтов активируется кейлоггер для перехвата вводимых данных, которые затем отправляются злоумышленникам.

Ключевая особенность этой кампании — использование легитимных платформ для скрытой коммуникации. Astaroth каждые два часа загружает из репозитория GitHub обычное PNG-изображение, в котором с помощью стеганографии спрятан конфигурационный файл. Это позволяет злоумышленникам сохранять контроль над зараженными устройствами даже после блокировки основных серверов.

Основная география атак сосредоточена в странах Южной Америки, особенно в Бразилии.

Специалисты подчеркивают, что, несмотря на техническую сложность, угроза основана на социальной инженерии, и призывают пользователей быть бдительными к подозрительным письмам. Вредоносные репозитории были удалены, что временно нарушило работу трояна.