Pesquisadores de cibersegurança alertam para uma nova campanha que distribui o trojan bancário Astaroth, o qual utiliza o GitHub como base para suas operações, garantindo maior resiliência mesmo diante da derrubada da infraestrutura tradicional.
Segundo Harshil Patel e Prabudh Chakravorty, pesquisadores do McAfee Labs, "em vez de depender exclusivamente de servidores tradicionais de command-and-control (C2), que podem ser desativados, os atacantes estão usando repositórios no GitHub para hospedar as configurações do malware".
Assim, quando as autoridades ou pesquisadores de segurança derrubam a infraestrutura C2, o Astaroth simplesmente obtém novas configurações diretamente do GitHub e continua operando normalmente.
De acordo com a empresa de segurança, essa atividade tem como foco principal o Brasil, embora o malware seja conhecido por atacar diversos países da América Latina, incluindo México, Uruguai, Argentina, Paraguai, Chile, Bolívia, Peru, Equador, Colômbia, Venezuela e Panamá.
Essa não é a primeira vez que campanhas do Astaroth miram o Brasil.
Em julho e outubro de 2024, Google e Trend Micro alertaram sobre grupos de ameaça chamados PINEAPPLE e Water Makara, que utilizavam e-mails de phishing para distribuir o malware.
A cadeia recente de ataque segue o mesmo padrão e começa com um e-mail de phishing temático do DocuSign, contendo um link para download de um arquivo compactado com um atalho para Windows (.lnk).
Ao abrir esse atalho, o Astaroth é instalado na máquina comprometida.
O arquivo .lnk contém um JavaScript ofuscado responsável por buscar outro código JavaScript em um servidor externo.
Esse código adicional baixa diversos arquivos de servidores pré-definidos de forma aleatória, incluindo um script AutoIt executado pelo payload JavaScript.
Em seguida, ele carrega e executa um shellcode que, por sua vez, carrega uma DLL baseada em Delphi para descriptografar e injetar o malware Astaroth em um novo processo denominado RegSvc.exe.
O Astaroth é um malware escrito em Delphi, projetado para monitorar as visitas da vítima a sites bancários e de criptomoedas, roubando credenciais por meio de keylogging.
As informações capturadas são enviadas aos atacantes através do proxy reverso Ngrok.
Para isso, o malware verifica a cada segundo se a janela ativa do navegador está aberta em um site relacionado a bancos.
Se a condição for verdadeira, o Astaroth registra as teclas digitadas.
Entre os sites visados estão:
- caixa[.]gov[.]br
- safra[.]com[.]br
- itau[.]com[.]br
- bancooriginal[.]com.br
- santandernet[.]com.br
- btgpactual[.]com
- etherscan[.]io
- binance[.]com
- bitcointrade[.]com.br
- metamask[.]io
- foxbit.com[.]br
- localbitcoins[.]com
O Astaroth também possui mecanismos para dificultar análises e se encerra automaticamente caso detecte o uso de emuladores, debuggers e ferramentas de análise como QEMU Guest Agent, HookExplorer, IDA Pro, ImmunityDebugger, PE Tools, WinDbg e Wireshark, entre outras.
A persistência no sistema é garantida pela criação de um arquivo .lnk na pasta de inicialização do Windows, que executa o script AutoIt para lançar o malware automaticamente toda vez que o sistema é reiniciado.
Além disso, a URL inicial acessada pelo JavaScript dentro do .lnk possui geofencing, e o malware verifica se o sistema não está configurado em inglês ou nos Estados Unidos, evitando infectar usuários fora dessas regiões.
Segundo o McAfee, "o Astaroth usa o GitHub para atualizar sua configuração quando os servidores C2 ficam inacessíveis, hospedando imagens que utilizam esteganografia para esconder essas informações à vista de todos".
Dessa forma, o malware aproveita uma plataforma legítima para armazenar seus arquivos de configuração, tornando-se uma infraestrutura de backup resistente ao bloqueio dos servidores C2 principais.
A empresa informou ainda que trabalhou junto à subsidiária da Microsoft para remover os repositórios usados no GitHub, neutralizando temporariamente as operações da campanha.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...