Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Troyano bancario Troyano bancario Astaroth

Troyano bancario Astaroth

Por Mezo en Troyano bancario
Traducir a:

Investigadores de ciberseguridad han identificado una nueva campaña que distribuye el troyano bancario Astaroth, el cual utiliza deliberadamente servicios legítimos como alternativa para sobrevivir a los desmantelamientos. En lugar de depender únicamente de los servidores tradicionales de Comando y Control (C2) que los defensores pueden localizar e interrumpir, los operadores alojan datos de configuración del malware en GitHub y los integran en imágenes mediante esteganografía, lo que permite que el malware se recupere y siga funcionando incluso después de que la infraestructura sea confiscada o deshabilitada.

Cómo GitHub y la esteganografía se convierten en un C2 de respaldo

Los atacantes colocan blobs de configuración dentro de imágenes en repositorios públicos de GitHub. Cuando el troyano no puede acceder a sus servidores C2 principales, extrae datos de configuración actualizados de esos archivos de imagen, convirtiendo así una conocida plataforma de alojamiento de código en un canal de entrega de copias de seguridad resistente. Al estar ocultos dentro de las imágenes, los datos se mezclan con el tráfico y los repositorios normales, lo que dificulta la detección y la desactivación. Los equipos de seguridad colaboraron con la plataforma de Microsoft para eliminar los repositorios infractores, lo que interrumpió temporalmente la campaña, pero el diseño muestra una clara intención de resistir futuras desactivaciones.

Enfoque geográfico y actividad previa

La campaña actual se concentra principalmente en Brasil, aunque Astaroth históricamente se dirige a un amplio conjunto de países latinoamericanos, como México, Uruguay, Argentina, Paraguay, Chile, Bolivia, Perú, Ecuador, Colombia, Venezuela y Panamá. Esto coincide con la actividad previa de Astaroth: los investigadores detectaron clústeres relacionados (identificados como PINEAPPLE y Water Makara) en julio y octubre de 2024 que utilizaban señuelos de phishing para distribuir la misma familia de malware.

La cadena de infección

El ataque suele comenzar con un mensaje de phishing con temática de DocuSign que contiene un enlace. Este enlace envía un archivo ZIP con un acceso directo de Windows (.lnk). Al abrir el LNK, se inicia un fragmento de JavaScript ofuscado que obtiene JavaScript adicional de servidores alojados externamente. El JavaScript obtenido, a su vez, descarga varios archivos de uno de varios servidores codificados. Entre estos archivos se encuentra un script de AutoIt ejecutado por la carga útil de JavaScript; el script de AutoIt carga y ejecuta el código shell, que a su vez carga una DLL basada en Delphi. Esta DLL descifra la carga útil de Astaroth y la inyecta en un proceso RegSvc.exe recién creado, completando así la implementación.

Qué hace Astaroth en los hosts infectados

Astaroth está implementado en Delphi y diseñado para monitorizar la actividad web de los usuarios, centrándose en las visitas a sitios web bancarios y de criptomonedas. Revisa la ventana activa del navegador cada segundo; cuando detecta un sitio bancario o de criptomonedas objetivo, intercepta eventos del teclado para capturar las pulsaciones y obtener credenciales. El troyano transmite los datos robados a los atacantes mediante un túnel de proxy inverso Ngrok, lo que permite la exfiltración incluso cuando la conectividad directa del C2 está restringida.

Ejemplos de objetivos observados

Los investigadores enumeraron un conjunto de sitios bancarios y relacionados con criptomonedas que fueron monitoreados por el malware:

  • caixa.gov.br
  • safra.com.br
  • itau.com.br
  • bancooriginal.com.br
  • santandernet.com.br
  • btgpactual.com
  • etherscan.io
  • binance.com
  • bitcointrade.com.br
  • metamask.io
  • foxbit.com.br
  • localbitcoins.com

Capacidades anti-análisis

Astaroth incluye numerosas técnicas antianálisis. Analiza el entorno en busca de herramientas de virtualización, emulación, depuración y análisis comunes (como QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark y similares) y se autodetiene si se detectan dichas herramientas. Estas comprobaciones dificultan el análisis dinámico y el sandboxing para los defensores.

Persistencia, geocercado y comprobaciones locales

Para mantener su persistencia, la campaña instala un acceso directo a la carpeta de inicio de Windows que invoca el script AutoIt al reiniciar, lo que garantiza que el malware se reinicie automáticamente. La cadena de infección incluye geofencing: la URL inicial obtenida por el LNK se segmenta por región, y el malware también verifica la configuración regional del sistema; evita ejecutarse en equipos configurados con la configuración regional en inglés o estadounidense. Estas medidas de seguridad reducen el perfil de sus víctimas y reducen la exposición accidental.

Impacto operativo

Al abusar de GitHub para alojar actualizaciones de configuración sigilosas, los operadores crearon un canal de respaldo ligero y difícil de desmantelar para Astaroth. Los investigadores se coordinaron con la plataforma de Microsoft para eliminar los repositorios maliciosos, lo que interrumpió temporalmente la campaña. El uso de servicios legítimos como respaldo demuestra la necesidad de que los defensores monitoreen el abuso de la nube y las plataformas de alojamiento de código como parte de la búsqueda de C2.

Resumen

Esta campaña destaca dos tendencias que los defensores deben considerar: (1) los actores de amenazas utilizan cada vez más plataformas de terceros de prestigio como infraestructura resiliente y (2) el malware moderno combina múltiples scripts y componentes compilados (JavaScript → AutoIt → shellcode → DLL de Delphi) para complicar el análisis y la eliminación persistente. La combinación de la configuración de respaldo basada en GitHub, el geofencing dirigido, las sólidas comprobaciones antianálisis y la monitorización de la actividad del navegador convierten a Astaroth en un troyano bancario particularmente resistente y que vulnera la privacidad. La vigilancia contra los señuelos de phishing, la monitorización de la actividad inusual en imágenes de GitHub y una sólida detección de endpoints que detecta la cadena de múltiples etapas son clave para detectar e interrumpir las infecciones.

Tendencias

Mas Visto

Cargando...