Los investigadores de ciberseguridad llaman la atención sobre una nueva campaña que ofrece Astaroth troyano bancario que emplea GitHub como columna vertebral de sus operaciones para mantenerse resilientes ante la caída de la infraestructura.
«En lugar de confiar únicamente en los servidores tradicionales de comando y control (C2) que se pueden eliminar, estos atacantes aprovechan los repositorios de GitHub para alojar configuraciones de malware», afirman Harshil Patel y Prabudh Chakravorty, investigadores de McAfee Labs dijo en un informe.
«Cuando los investigadores policiales o de seguridad cierran su infraestructura C2, Astaroth simplemente extrae configuraciones nuevas de GitHub y sigue funcionando».
La actividad, según la empresa de ciberseguridad, se centra principalmente en Brasil, aunque se sabe que el malware bancario se dirige a varios países de América Latina, incluidos México, Uruguay, Argentina, Paraguay, Chile, Bolivia, Perú, Ecuador, Colombia, Venezuela y Panamá.
No es la primera vez que las campañas de Astaroth se centran en Brasil. ¿En julio y octubre de 2024 , tanto Google como Trend Micro alertaron sobre grupos de amenazas denominados PINEAPPLE y Water Makara que utilizaban correos electrónicos de suplantación de identidad para distribuir el malware.
La última cadena de ataques no es diferente, ya que también comienza con un correo electrónico de suplantación de identidad con temática de DocuSign que contiene un enlace que descarga un archivo comprimido de acceso directo de Windows (.lnk) que, al abrirse, instala Astaroth en el host comprometido.
El archivo LNK incorpora JavaScript ofuscado que es responsable de obtener JavaScript adicional de un servidor externo. El código JavaScript recién obtenido, por su parte, descarga varios archivos de uno de los servidores codificados de forma rígida seleccionados al azar.
Esto incluye un script AutoIt que ejecuta la carga útil de JavaScript, tras lo cual carga y ejecuta shellcode, que, a su vez, carga una DLL basada en Delphi para descifrar e inyectar el malware Astaroth en un proceso RegSvc.exe recién creado.
Astaroth es un malware de Delphi diseñado para monitorear las visitas de las víctimas a sitios web bancarios o de criptomonedas y robar sus credenciales mediante el registro de teclas. La información capturada se transmite a los atacantes mediante el proxy inverso Ngrok.
Lo logra comprobando la ventana del programa navegador activo cada segundo y si tiene abierto un sitio relacionado con la banca. Si se cumplen estas condiciones, el malware engancha los eventos del teclado para registrar las pulsaciones de teclas. Algunos de los sitios web objetivo se enumeran a continuación:
- caixa.gov [.] br
- safra.com [.] br
- itau.com [.] br
- bancooriginal.com [.] br
- santandernet.com [.] br
- btgpactual [.] com
- etherscan [.] io
- binance [.] com
- bitcointrade.com [.] br
- metamáscara [.] io
- foxbit.com [.] br
- localbitcoins [.] com
Astaroth también viene equipado con capacidades para resistir el análisis y se apaga automáticamente si detecta herramientas de emulador, depurador y análisis como QEMU Guest Agent, HookExplorer, IDA Pro, ImmunityDebugger, PE Tools, WinDbg y Wireshark, entre otras.
La persistencia en el host se configura colocando un archivo LNK en la carpeta de inicio de Windows que ejecuta el script AutoIt para iniciar el malware automáticamente al reiniciar el sistema. Además, no solo la URL inicial a la que accede el JavaScript del archivo LNK está geoprotegida, sino que el malware también se asegura de que la configuración regional del sistema del equipo no esté configurada en inglés o estadounidense.
«Astaroth usa GitHub para actualizar su configuración cuando los servidores C2 se vuelven inaccesibles, alojando imágenes en GitHub, que utiliza la esteganografía para ocultar esta información a plena vista», afirma McAfee.
Al hacerlo, el malware aprovecha una plataforma legítima para alojar los archivos de configuración y convertirla en una infraestructura de respaldo resiliente cuando los servidores C2 principales se vuelven inaccesibles. La empresa señaló que había trabajado con la filial propiedad de Microsoft para eliminar los repositorios de GitHub y neutralizar temporalmente las operaciones.