Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña que distribuye el troyano bancario Astaroth que emplea GitHub como columna vertebral de sus operaciones para mantenerse resiliente frente a las caídas de infraestructura.
«En lugar de confiar únicamente en servidores tradicionales de comando y control (C2) que pueden ser desmantelados, estos atacantes están aprovechando los repositorios de GitHub para alojar configuraciones de malware», dijeron los investigadores de McAfee Labs Harshil Patel y Prabudh Chakravorty en un informe.
Cuando las autoridades o los investigadores de seguridad cierran su infraestructura C2, Astaroth simplemente extrae nuevas configuraciones de GitHub y sigue funcionando.
La actividad, según la empresa de ciberseguridad, se centra principalmente en Brasil, aunque se sabe que el malware bancario apunta a varios países de América Latina, incluidos México, Uruguay, Argentina, Paraguay, Chile, Bolivia, Perú, Ecuador, Colombia, Venezuela y Panamá.
Esta no es la primera vez que las campañas de Astaroth se dirigen a Brasil. En julio y octubre de 2024 , tanto Google como Trend Micro advirtieron sobre grupos de amenazas denominados PINEAPPLE y Water Makara que utilizaban correos electrónicos de phishing para distribuir el malware.
La última cadena de ataque no es diferente, ya que también comienza con un correo electrónico de phishing con temática de DocuSign que contiene un enlace que descarga un archivo de acceso directo de Windows comprimido (.lnk), que, cuando se abre, instala Astaroth en el host comprometido.
El archivo LNK incorpora JavaScript ofuscado, responsable de obtener JavaScript adicional de un servidor externo. El código JavaScript recién obtenido, a su vez, descarga varios archivos de uno de los servidores predefinidos seleccionados aleatoriamente.
Esto incluye un script AutoIt que es ejecutado por la carga útil de JavaScript, después de lo cual carga y ejecuta el shellcode, que, a su vez, carga una DLL basada en Delphi para descifrar e inyectar el malware Astaroth en un proceso RegSvc.exe recién creado.
Astaroth es un malware de Delphi diseñado para monitorear las visitas de las víctimas a sitios web bancarios o de criptomonedas y robar sus credenciales mediante keylogging. La información capturada se transmite a los atacantes mediante el proxy inverso Ngrok.
Para ello, comprueba cada segundo la ventana activa del navegador y si tiene abierto algún sitio web bancario. Si se cumplen estas condiciones, el malware intercepta eventos del teclado para registrar las pulsaciones. A continuación, se enumeran algunos de los sitios web afectados:
- caixa.gov[.]br
- safra.com[.]br
- itau.com[.]br
- bancooriginal.com[.]br
- santandernet.com[.]br
- btgpactual[.]com
- etherscan[.]io
- binance[.]com
- bitcointrade.com[.]br
- metamask[.]io
- foxbit.com[.]br
- localbitcoins[.]com
Astaroth también viene equipado con capacidades para resistir el análisis y se apaga automáticamente si detecta emuladores, depuradores y herramientas de análisis como QEMU Guest Agent, HookExplorer, IDA Pro, ImmunityDebugger, PE Tools, WinDbg y Wireshark, entre otros.
La persistencia en el host se configura colocando un archivo LNK en la carpeta de inicio de Windows que ejecuta el script de AutoIT para ejecutar el malware automáticamente al reiniciar el sistema. Además, no solo se geocerca la URL inicial a la que accede el JavaScript dentro del archivo LNK, sino que el malware también se asegura de que la configuración regional del sistema del equipo no esté configurada en inglés ni en EE. UU.
«Astaroth usa GitHub para actualizar su configuración cuando los servidores C2 se vuelven inaccesibles, alojando imágenes en GitHub, que utiliza esteganografía para ocultar esta información a simple vista», dijo McAfee.
De esta forma, el malware aprovecha una plataforma legítima para alojar archivos de configuración y convertirla en una infraestructura de respaldo resistente cuando los servidores C2 principales se vuelven inaccesibles. La compañía indicó que colaboró con la filial de Microsoft para eliminar los repositorios de GitHub, neutralizando temporalmente las operaciones.
Fuente y redacción: thehackernews.com
