Los investigadores de ciberseguridad advierten sobre una nueva campaña que distribuye el troyano bancario Astaroth que emplea GitHub como columna vertebral de sus operaciones para permanecer resistente ante cortes de infraestructura.
«En lugar de depender únicamente de servidores tradicionales de comando y control (C2) que pueden ser desactivados, estos atacantes están aprovechando los repositorios de GitHub para alojar sus configuraciones de malware», dijeron en el informe los investigadores de McAfee Labs, Harshil Patel y Prabudh Chakravorty.
«Incluso si las fuerzas del orden o los investigadores de seguridad cierran la infraestructura C2, Astaroth seguirá funcionando simplemente recuperando nuevas configuraciones de GitHub».
Según la firma de ciberseguridad, esta actividad se centra principalmente en Brasil, pero se sabe que el malware bancario apunta a varios países de América Latina, incluidos México, Uruguay, Argentina, Paraguay, Chile, Bolivia, Perú, Ecuador, Colombia, Venezuela y Panamá.
No es la primera vez que la campaña de Astaroth pone su mirada en Brasil. En julio y octubre de 2024, tanto Google como Trend Micro advirtieron sobre grupos de amenazas llamados PINEAPPLE y Water Makara que utilizaban correos electrónicos de phishing para distribuir malware.
La última cadena de ataques no es diferente, comenzando con un correo electrónico de phishing con el tema de DocuSign que contiene un enlace para descargar un archivo comprimido de acceso directo de Windows (.lnk). Al abrir este archivo se instalará Astaroth en el host comprometido.
Los archivos LNK contienen JavaScript ofuscado que es responsable de recuperar JavaScript adicional de servidores externos. El código JavaScript recién obtenido descarga una cantidad de archivos de uno de los servidores codificados seleccionados al azar.
Contiene un script AutoIt que se ejecuta mediante la carga útil de JavaScript, que luego carga y ejecuta el código shell. Además, se carga una DLL basada en Delphi para descifrar el malware Astaroth e inyectarlo en el proceso RegSvc.exe recién creado.
Astaroth es un malware de Delphi diseñado para monitorear las visitas de las víctimas a sitios web bancarios y de criptomonedas y utilizar el registro de teclas para robar credenciales. La información capturada se envía al atacante mediante el proxy inverso de Ngrok.
Esto se logra revisando la ventana del programa del navegador activo cada segundo para ver si hay algún sitio relacionado con la banca abierto. Cuando se cumplen estas condiciones, el malware engancha los eventos del teclado y registra las pulsaciones de teclas. Algunos de los sitios web específicos se enumeran a continuación.
caixa.gov(.)br safra.com(.)br itau.com(.)br bancooriginal.com(.)br santandernet.com(.)br btgpactual(.)com etherscan(.)io binance(.)com bitcointrade.com(.)br metamask(.)io foxbit.com(.)br localbitcoins(.)com
Astaroth también está equipado con resistencia al análisis, apaga automáticamente emuladores, depuradores y herramientas de análisis como el agente invitado QEMU, HookExplorer, IDA Pro, ImmunityDebugger, PE Tools, WinDbg y Wireshark cuando se detecta.
La persistencia en el host se configura colocando un archivo LNK en la carpeta de inicio de Windows que ejecuta un script AutoIT que inicia automáticamente el malware al reiniciar el sistema. Además, no solo la primera URL a la que accede JavaScript en el archivo LNK está geocercada, sino que el malware también garantiza que la configuración regional del sistema de la máquina no esté configurada en inglés o EE. UU.
«Astaroth usa GitHub para actualizar su configuración si el servidor C2 se vuelve inaccesible. Al alojar imágenes en GitHub, usamos esteganografía para ocultar esta información a la vista», dijo McAfee.
Al hacerlo, el malware aprovecha una plataforma legítima para alojar archivos de configuración, convirtiéndola en una infraestructura de respaldo resistente cuando el servidor C2 principal se vuelve inaccesible. La compañía dijo que trabajó con una subsidiaria propiedad de Microsoft para eliminar el repositorio de GitHub y paralizar temporalmente sus operaciones.
Source link
