Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña que ofrece la Astarot troyano bancario que emplea GitHub como columna vertebral de sus operaciones para mantenerse resistente ante los desmantelamiento de infraestructura.
«En lugar de depender únicamente de servidores tradicionales de comando y control (C2) que pueden ser desactivados, estos atacantes están aprovechando los repositorios de GitHub para alojar configuraciones de malware», afirman los investigadores de McAfee Labs Harshil Patel y Prabudh Chakravorty. dicho en un informe.
«Cuando las fuerzas del orden o los investigadores de seguridad cierran su infraestructura C2, Astaroth simplemente extrae configuraciones nuevas de GitHub y continúa funcionando».
La actividad, según la empresa de ciberseguridad, se centra principalmente en Brasil, aunque se sabe que el malware bancario apunta a varios países de América Latina, incluidos México, Uruguay, Argentina, Paraguay, Chile, Bolivia, Perú, Ecuador, Colombia, Venezuela y Panamá.
Esta no es la primera vez que las campañas de Astaroth apuntan a Brasil. En Julio y octubre 2024tanto Google como Trend Micro advirtieron sobre grupos de amenazas denominados PINEAPPLE y Water Makara que utilizaban correos electrónicos de phishing para distribuir el malware.
La última cadena de ataque no es diferente porque también comienza con un correo electrónico de phishing con el tema de DocuSign que contiene un enlace que descarga un archivo comprimido de acceso directo de Windows (.lnk) que, cuando se abre, instala Astaroth en el host comprometido.
El archivo LNK incorpora JavaScript ofuscado que es responsable de obtener JavaScript adicional de un servidor externo. El código JavaScript recién obtenido, por su parte, descarga una serie de archivos de uno de los servidores codificados seleccionados al azar.
Esto incluye un script AutoIt que se ejecuta mediante la carga útil de JavaScript, después del cual carga y ejecuta el código shell, que, a su vez, carga una DLL basada en Delphi para descifrar e inyectar el malware Astaroth en un proceso RegSvc.exe recién creado.
Astaroth es un malware de Delphi diseñado para monitorear las visitas de las víctimas a sitios web bancarios o de criptomonedas y robar sus credenciales mediante el registro de teclas. La información capturada se transmite a los atacantes mediante el proxy inverso de Ngrok.
Lo logra comprobando la ventana del programa del navegador activo cada segundo y si tiene abierto un sitio relacionado con la banca. Si se cumplen estas condiciones, el malware vincula los eventos del teclado para registrar las pulsaciones de teclas. Algunos de los sitios web específicos se enumeran a continuación:
- caixa.gov[.]hermano
- safra.com[.]hermano
- itaú.com[.]hermano
- bancooriginal.com[.]hermano
- santandernet.com[.]hermano
- btgpaactual[.]com
- escaneo de éter[.]yo
- binance[.]com
- bitcointrade.com[.]hermano
- metamáscara[.]yo
- foxbit.com[.]hermano
- bitcoins locales[.]com
Astaroth también viene equipado con capacidades para resistir el análisis y se apaga automáticamente si detecta un emulador, un depurador y herramientas de análisis como QEMU Guest Agent, HookExplorer, IDA Pro, ImmunityDebugger, PE Tools, WinDbg y Wireshark, entre otros.
La persistencia en el host se configura colocando un archivo LNK en la carpeta de inicio de Windows que ejecuta el script AutoIT para iniciar el malware automáticamente al reiniciar el sistema. Es más, el JavaScript no solo accede a la URL inicial dentro del archivo LNK, sino que el malware también se asegura de que la configuración regional del sistema de la máquina no esté configurada en inglés o EE. UU.
«Astaroth usa GitHub para actualizar su configuración cuando los servidores C2 se vuelven inaccesibles, alojando imágenes en GitHub, que usa esteganografía para ocultar esta información a plena vista», dijo McAfee.
Al hacerlo, el malware aprovecha una plataforma legítima para alojar archivos de configuración y convertirla en una infraestructura de respaldo resistente cuando los servidores C2 primarios se vuelven inaccesibles. La compañía señaló que trabajó con la subsidiaria propiedad de Microsoft para eliminar los repositorios de GitHub, neutralizando temporalmente las operaciones.
Fuente