Em resumo
- A McAfee descobriu uma campanha de Trojan que usa o GitHub para redirecionar malware para novos servidores sempre que os servidores existentes são desativados.
- O malware tem como alvo principal países da América do Sul, com foco particular no Brasil.
- O vírus é carregado através de e-mails de phishing e é capaz de roubar credenciais bancárias e criptográficas.
Os hackers estão implantando um Trojan bancário que utiliza repositórios GitHub sempre que seus servidores são desativados, de acordo com uma pesquisa da empresa de segurança cibernética McAfee.
Apelidado de Astaroth, o vírus Trojan se espalha por meio de e-mails de phishing que convidam as vítimas a baixar um arquivo do Windows (.lnk), que instala o malware em um computador host.
O Astaroth é executado em segundo plano no dispositivo da vítima, usando keylogging para roubar credenciais bancárias e criptográficas e enviando essas credenciais usando o proxy reverso Ngrok (um intermediário entre servidores).
Sua característica única é que Astaroth usa repositórios GitHub para atualizar a configuração de seu servidor sempre que seu servidor de comando e controle é desativado, o que geralmente acontece devido à intervenção de empresas de segurança cibernética ou agências de aplicação da lei.
“O GitHub não é usado para hospedar o malware em si, mas apenas para hospedar uma configuração que aponta para o servidor do bot”, disse Abhishek Karnik, Diretor de Pesquisa e Resposta a Ameaças da McAfee.
Falando com DescriptografarKarnik explicou que os implantadores do malware estão usando o GitHub como um recurso para direcionar as vítimas a servidores atualizados, o que distingue a exploração de instâncias anteriores em que o GitHub foi aproveitado.
Isso inclui um vetor de ataque descoberto pela McAfee em 2024, no qual malfeitores inseriram o malware Redline Stealer em repositórios GitHub, algo que se repetiu este ano na campanha GitVenom.
“No entanto, neste caso, não é o malware que está sendo hospedado, mas uma configuração que gerencia como o malware se comunica com sua infraestrutura de back-end”, acrescentou Karnik.
Tal como acontece com a campanha GitVenom, o objetivo final do Astaroth é exfiltrar credenciais que podem ser usadas para roubar a criptografia de uma vítima ou fazer transferências de suas contas bancárias.
“Não temos dados sobre quanto dinheiro ou criptomoedas foram roubados, mas parece ser muito comum, especialmente no Brasil”, disse Karnik.
Segmentando a América do Sul
Parece que Astaroth tem como alvo principal territórios sul-americanos, incluindo México, Uruguai, Argentina, Paraguai, Chile, Bolívia, Peru, Equador, Colômbia, Venezuela e Panamá.
Embora também seja capaz de atingir Portugal e Itália, o malware é escrito de forma a não ser carregado em sistemas nos Estados Unidos ou noutros países de língua inglesa (como a Inglaterra).
O malware desliga seu sistema host se detectar que um software de análise está sendo operado, enquanto é projetado para executar funções de keylogging se detectar que um navegador da web está visitando determinados sites bancários.
Entre eles estão caixa.gov.br, safra.com.br, itau.com.br, bancooriginal.com.br, santandernet.com.br e btgpactual.com.
Também foi escrito para atingir os seguintes domínios relacionados à criptografia: etherscan.io, binance.com, bitcointrade.com.br, metamask.io, foxbit.com.br e localbitcoins.com.
Diante de tais ameaças, a McAfee orienta que os usuários não abram anexos ou links de remetentes desconhecidos, utilizando também software antivírus atualizado e autenticação de dois fatores.
Resumo Diário Boletim informativo
Comece cada dia com as principais notícias do momento, além de recursos originais, podcast, vídeos e muito mais.
Fontedecrypt