Pesquisadores de cibersegurança alertam para uma nova campanha que distribui o trojan bancário Astaroth, o qual utiliza o GitHub como base para suas operações, garantindo maior resiliência mesmo diante da derrubada da infraestrutura tradicional.
Segundo Harshil Patel e Prabudh Chakravorty, pesquisadores do McAfee Labs, "em vez de depender exclusivamente de servidores tradicionais de command-and-control (C2), que podem ser desativados, os atacantes estão usando repositórios no GitHub para hospedar as configurações do malware".
Assim, quando as autoridades ou pesquisadores de segurança derrubam a infraestrutura C2, o Astaroth simplesmente obtém novas configurações diretamente do GitHub e continua operando normalmente.
De acordo com a empresa de segurança, essa atividade tem como foco principal o Brasil, embora o malware seja conhecido por atacar diversos países da América Latina, incluindo México, Uruguai, Argentina, Paraguai, Chile, Bolívia, Peru, Equador, Colômbia, Venezuela e Panamá.
Essa não é a primeira vez que campanhas do Astaroth miram o Brasil.
Em julho e outubro de 2024, Google e Trend Micro alertaram sobre grupos de ameaça chamados PINEAPPLE e Water Makara, que utilizavam e-mails de phishing para distribuir o malware.
A cadeia recente de ataque segue o mesmo padrão e começa com um e-mail de phishing temático do DocuSign, contendo um link para download de um arquivo compactado com um atalho para Windows (.lnk).
Ao abrir esse atalho, o Astaroth é instalado na máquina comprometida.
O arquivo .lnk contém um JavaScript ofuscado responsável por buscar outro código JavaScript em um servidor externo.
Esse código adicional baixa diversos arquivos de servidores pré-definidos de forma aleatória, incluindo um script AutoIt executado pelo payload JavaScript.
Em seguida, ele carrega e executa um shellcode que, por sua vez, carrega uma DLL baseada em Delphi para descriptografar e injetar o malware Astaroth em um novo processo denominado RegSvc.exe.
O Astaroth é um malware escrito em Delphi, projetado para monitorar as visitas da vítima a sites bancários e de criptomoedas, roubando credenciais por meio de keylogging.
As informações capturadas são enviadas aos atacantes através do proxy reverso Ngrok.
Para isso, o malware verifica a cada segundo se a janela ativa do navegador está aberta em um site relacionado a bancos.
Se a condição for verdadeira, o Astaroth registra as teclas digitadas.
Entre os sites visados estão:
- caixa[.]gov[.]br
- safra[.]com[.]br
- itau[.]com[.]br
- bancooriginal[.]com.br
- santandernet[.]com.br
- btgpactual[.]com
- etherscan[.]io
- binance[.]com
- bitcointrade[.]com.br
- metamask[.]io
- foxbit.com[.]br
- localbitcoins[.]com
O Astaroth também possui mecanismos para dificultar análises e se encerra automaticamente caso detecte o uso de emuladores, debuggers e ferramentas de análise como QEMU Guest Agent, HookExplorer, IDA Pro, ImmunityDebugger, PE Tools, WinDbg e Wireshark, entre outras.
A persistência no sistema é garantida pela criação de um arquivo .lnk na pasta de inicialização do Windows, que executa o script AutoIt para lançar o malware automaticamente toda vez que o sistema é reiniciado.
Além disso, a URL inicial acessada pelo JavaScript dentro do .lnk possui geofencing, e o malware verifica se o sistema não está configurado em inglês ou nos Estados Unidos, evitando infectar usuários fora dessas regiões.
Segundo o McAfee, "o Astaroth usa o GitHub para atualizar sua configuração quando os servidores C2 ficam inacessíveis, hospedando imagens que utilizam esteganografia para esconder essas informações à vista de todos".
Dessa forma, o malware aproveita uma plataforma legítima para armazenar seus arquivos de configuração, tornando-se uma infraestrutura de backup resistente ao bloqueio dos servidores C2 principais.
A empresa informou ainda que trabalhou junto à subsidiária da Microsoft para remover os repositórios usados no GitHub, neutralizando temporariamente as operações da campanha.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...