Astaroth usa GitHub para resistir derribos y robar credenciales

Los investigadores de seguridad han detectado una nueva campaña del troyano bancario Astaroth que emplea repositorios legítimos de GitHub como columna vertebral para alojar sus configuraciones y así permanecer operativa incluso cuando las infraestructuras tradicionales de comando y control (C2) son derribadas. Esta técnica convierte a plataformas en la nube confiables en un backup difícil de neutralizar y complica la contención por parte de las fuerzas del orden y los equipos de respuesta.

Vectores de infección y cadena de ataque

La campaña comienza con un correo electrónico de phishing (con lures como DocuSign) que contiene un enlace a un archivo comprimido que descarga un acceso directo de Windows (.lnk). Cuando la víctima ejecuta el LNK, se activa JavaScript ofuscado que recupera más código desde servidores remotos y descarga una secuencia de artefactos: un script AutoIt, shellcode y, finalmente, una DLL en Delphi que desemboca en la carga del malware Astaroth dentro de un proceso legítimo (por ejemplo, RegSvc.exe).

Astaroth está diseñado para robar credenciales bancarias y de criptomonedas. Supervisa la ventana activa del navegador y, al detectar sitios objetivo, engancha eventos de teclado para capturar contraseñas y datos sensibles. La información recopilada se exfiltra a los operadores mediante proxies inversos como Ngrok, complicando la atribución y el bloqueo directo del C2.

Uso de GitHub como infraestructura resistente

En lugar de depender exclusivamente de servidores C2 propietarios (que pueden ser desconectados), los operadores de Astaroth suben configuraciones y recursos a repositorios de GitHub —incluso empleando técnicas de esteganografía en imágenes para ocultar datos— de modo que, cuando los servidores C2 se vuelven inaccesibles, el malware simplemente descarga las nuevas configuraciones desde GitHub y continúa operando. McAfee señala que la compañía colaboró con GitHub/Microsoft para eliminar repositorios activos que estaban siendo usados en la campaña.

Alcance geográfico y objetivos

Aunque la actividad se concentra especialmente en Brasil, Astaroth ha mostrado actividad en múltiples países de América Latina, incluidos México, Uruguay, Argentina, Paraguay, Chile, Bolivia, Perú, Ecuador, Colombia, Venezuela y Panamá. Informes de varios centros de investigación y firmas de seguridad confirman el repunte de la familia Astaroth en la región y su especial afinidad por objetivos financieros y de criptomonedas.

Capacidades antianálisis y persistencia

Astaroth incorpora mecanismos para evadir análisis y desactivarse si detecta entornos de emulación o depuración (herramientas como IDA Pro, WinDbg, QEMU Guest Agent, Wireshark, etc.). Para mantener persistencia, coloca un archivo .lnk en la carpeta de inicio que ejecuta el script AutoIt con cada reinicio. Además, verifica la configuración regional de la máquina (evita sistemas con locale en inglés/EE. UU.), una técnica usada frecuentemente para limitar la exposición a análisis en sandboxes internacionales.

Sitios y servicios objetivo (muestras observadas)

Entre los dominios que el malware vigila o con los que interactúa, los analistas han listado sitios bancarios y de criptomonedas relevantes en Brasil y para cripto usuarios, por ejemplo:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Riesgo operativo y por qué importa

El uso de plataformas públicas y confiables (GitHub, Ngrok) para almacenar configuraciones y proxy de exfiltración eleva la resiliencia de la campaña y reduce la eficacia de las tácticas tradicionales de derribo de infraestructura. Además, la combinación de ingeniería social (phishing convincente) y cadenas fileless/semifileless (LNK → JavaScript → AutoIt → shellcode → DLL) dificulta la detección por soluciones defensivas que no inspeccionan en profundidad la actividad en memoria o el tráfico saliente hacia servicios legítimos.

Recomendaciones prácticas para mitigación y detección

• Bloquear y filtrar archivos .lnk entrantes y adjuntos sospechosos en correo; aplicar reglas en proxys y gateways de correo.
• Inspeccionar y restringir conexiones a servicios proxy públicos (Ngrok, similares) en redes corporativas.
• Monitoreo EDR/IDS: activar detección de ejecución de AutoIt y comportamiento de inyección en procesos legítimos (p. ej. RegSvc.exe).
• Hardenear políticas de inicio: prohibir la ejecución automática de accesos directos desde carpetas de descarga y bloquear ejecución desde %TEMP% y rutas de usuario no confiables.
• Lista de bloqueo / reputación GitHub: monitorizar y eliminar repositorios maliciosos en colaboración con GitHub; alertar sobre repositorios que alojan imágenes con metadatos extraños.
• Concienciación: campañas contra phishing (especialmente lures tipo DocuSign) y simulación de ataques dirigidos a equipos locales en Brasil y LATAM.

En fin...

La reaparición de Astaroth con la capacidad de utilizar GitHub como infraestructura de respaldo subraya una tendencia preocupante: los atacantes están explotando servicios legítimos para aumentar la resiliencia de sus operaciones y dificultar las respuestas coordinadas. Las organizaciones, sobre todo las que operan en América Latina y manejan activos financieros o cripto, deben priorizar medidas de detección basadas en comportamiento, políticas de bloqueo y colaboración con plataformas cloud para reducir la superficie de ataque y mitigar el impacto de estas campañas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login