Trojan bancário Astaroth
Pesquisadores de segurança cibernética identificaram uma nova campanha que distribui o trojan bancário Astaroth, que usa deliberadamente serviços legítimos como alternativa para sobreviver a quedas. Em vez de depender apenas dos servidores tradicionais de Comando e Controle (C2), que os defensores podem localizar e interromper, os operadores estão hospedando dados de configuração do malware no GitHub e incorporando-os em imagens por meio de esteganografia — permitindo que o malware se recupere e continue operando mesmo após a infraestrutura ser apreendida ou desativada.
Índice
Como o GitHub e a esteganografia se tornam um backup C2
Os invasores inserem blobs de configuração dentro de imagens em repositórios públicos do GitHub. Quando o Trojan não consegue acessar seus servidores C2 primários, ele extrai dados de configuração atualizados desses arquivos de imagem — efetivamente transformando uma plataforma de hospedagem de código bem conhecida em um canal de entrega de backup resiliente. Como os dados ficam ocultos dentro de imagens, eles se misturam ao tráfego e aos repositórios normais, dificultando a detecção e a remoção. As equipes de segurança trabalharam com a plataforma da Microsoft para remover os repositórios ofensivos, o que interrompeu temporariamente a campanha, mas o design demonstra uma clara intenção de resistir a futuras remoções.
Foco geográfico e atividade anterior
A campanha atual concentra-se principalmente no Brasil, embora o Astaroth tenha historicamente como alvo um amplo conjunto de países latino-americanos, incluindo México, Uruguai, Argentina, Paraguai, Chile, Bolívia, Peru, Equador, Colômbia, Venezuela e Panamá. Isso é consistente com atividades anteriores do Astaroth: pesquisadores sinalizaram clusters relacionados (rastreados como PINEAPPLE e Water Makara) em julho e outubro de 2024 que usaram iscas de phishing para distribuir a mesma família de malware.
A cadeia de infecção
O ataque normalmente começa com uma mensagem de phishing com tema do DocuSign contendo um link. Esse link entrega um ZIP que contém um atalho do Windows (.lnk). Abrir o LNK inicia um stub JavaScript ofuscado que busca JavaScript adicional de servidores hospedados externamente. O JavaScript buscado, por sua vez, baixa vários arquivos de um dos vários servidores codificados. Entre esses arquivos está um script AutoIt executado pelo payload JavaScript; o script AutoIt carrega e executa o shellcode, que então carrega uma DLL baseada em Delphi. Essa DLL descriptografa o payload do Astaroth e o insere em um processo RegSvc.exe recém-criado — concluindo a implantação.
O que Astaroth faz em hospedeiros infectados
O Astaroth é implementado em Delphi e projetado para monitorar a atividade web dos usuários, com foco em visitas a sites bancários e relacionados a criptomoedas. Ele verifica a janela ativa do navegador a cada segundo; ao detectar um site bancário ou de criptomoedas, ele intercepta eventos de teclado para capturar as teclas digitadas e coletar credenciais. O trojan transmite os dados roubados de volta aos invasores usando um túnel de proxy reverso Ngrok, permitindo a exfiltração mesmo quando a conectividade C2 direta é restrita.
Exemplos de alvos observados
Os pesquisadores listaram um conjunto de sites bancários e relacionados a criptomoedas que foram monitorados pelo malware:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
Capacidades anti-análise
O Astaroth inclui inúmeras técnicas antianálise. Ele sonda o ambiente em busca de virtualização, emulação, depuração e ferramentas de análise comuns (exemplos incluem QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark e ferramentas semelhantes) e se encerra se tais ferramentas forem detectadas. Essas verificações dificultam a análise dinâmica e o sandboxing para os defensores.
Persistência, geofencing e verificações de localidade
Para manter a persistência, a campanha instala um atalho na pasta de inicialização do Windows que invoca o script AutoIt na reinicialização, garantindo que o malware seja reiniciado automaticamente. A cadeia de infecção inclui geofencing: a URL inicial obtida pelo LNK é segmentada por região, e o malware também verifica a localidade do sistema — evitando a execução em máquinas configuradas para o idioma inglês/Estados Unidos. Essas salvaguardas restringem o perfil da vítima e reduzem a exposição acidental.
Impacto Operacional
Ao utilizar o GitHub para hospedar atualizações de configuração furtivas, os operadores criaram um canal de backup leve e difícil de remover para o Astaroth. Pesquisadores se coordenaram com a plataforma da Microsoft para remover os repositórios maliciosos, o que interrompeu temporariamente a campanha. O uso de serviços legítimos como fallback demonstra a necessidade de os defensores monitorarem o abuso de plataformas de nuvem e hospedagem de código como parte da caça ao C2.
Resumo
Esta campanha destaca duas tendências que os defensores devem considerar: (1) os agentes de ameaças utilizam cada vez mais plataformas de terceiros respeitadas como infraestrutura resiliente e (2) o malware moderno combina múltiplos scripts e componentes compilados (JavaScript → AutoIt → shellcode → Delphi DLL) para complicar a análise e a remoção de persistência. A combinação de fallback de configuração baseado no GitHub, geofencing direcionado, verificações antianálise robustas e monitoramento da atividade do navegador torna o Astaroth um trojan bancário particularmente resiliente e invasor de privacidade. A vigilância contra iscas de phishing, o monitoramento de atividades incomuns em imagens do GitHub e a detecção robusta de endpoints que identifica a cadeia de vários estágios são essenciais para detectar e interromper infecções.
