Redazione RHC : 14 Ottobre 2025 16:00
I ricercatori di McAfee hanno segnalato una nuova attività del trojan bancario Astaroth, che ha iniziato a utilizzare GitHub come canale persistente per la distribuzione dei dati di configurazione.
Questo approccio consente agli aggressori di mantenere il controllo sui dispositivi infetti anche dopo la disattivazione dei server di comando e controllo primari, aumentando significativamente la capacità di sopravvivenza del malware e complicandone la neutralizzazione.
L’attacco inizia con un’e-mail di phishing mascherata da notifica di servizi popolari come DocuSign o contenente presumibilmente il curriculum di un candidato. Il corpo dell’e-mail contiene un collegamento per scaricare un archivio ZIP.
 Cybersecurity Awareness per la tua azienda? Scopri BETTI RHC!Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Red hot cyber ha sviluppato da diversi anni una Graphic Novel, l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto. Scopri di più sul corso a fumetti di Red Hot Cyber. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
All’interno è presente un file di collegamento (.lnk) che avvia JavaScript nascosto tramite mshta.exe. Questo script scarica un nuovo set di file da un server remoto, il cui accesso è geograficamente limitato: il malware viene scaricato solo sui dispositivi nelle regioni prese di mira.
Il kit scaricato include uno script AutoIT, un interprete AutoIT, il corpo crittografato del Trojan stesso e un file di configurazione separato. Lo script distribuisce lo shellcode in memoria e inietta un file DLL nel processo RegSvc.exe, utilizzando tecniche di bypass dell’analisi e la sostituzione dell’API standard kernel32.dll.
Il modulo scaricato, scritto in Delphi, controlla accuratamente l’ambiente: se viene rilevato un sandbox, un debugger o un sistema con impostazioni locali in inglese, l’esecuzione viene immediatamente terminata.
Astaroth monitora costantemente le finestre aperte. Se l’utente visita il sito web di una banca o di un servizio di criptovaluta, il trojan attiva un keylogger, intercettando tutte le sequenze di tasti. Prende di mira nomi di classi di Windows, come Chrome, Mozilla, IEframe e altri. Le risorse prese di mira includono i siti web delle principali banche brasiliane e piattaforme di criptovaluta, tra cui Binance, Metamask , Etherscan e LocalBitcoins. Tutti i dati rubati vengono trasmessi al server degli aggressori utilizzando un protocollo proprietario o tramite il servizio reverse proxy Ngrok.
Una caratteristica unica di questa campagna è che Astaroth utilizza GitHub per aggiornare la propria configurazione. Ogni due ore, il trojan scarica un’immagine PNG da un repository aperto contenente una configurazione crittografata steganograficamente. I repository scoperti contenevano immagini con un formato di denominazione predefinito e sono stati prontamente rimossi su richiesta dei ricercatori. Tuttavia, questo approccio dimostra come le piattaforme legittime possano essere utilizzate come canale di comunicazione di riserva per il malware.
Per infiltrarsi nel sistema, il trojan inserisce un collegamento nella cartella di avvio, assicurandosi che venga eseguito automaticamente a ogni avvio del computer. Nonostante la complessità tecnica dell’attacco, il vettore principale rimane l’ingegneria sociale e la fiducia degli utenti nelle e-mail.
Durante l’indagine, gli specialisti hanno scoperto che la maggior parte dei contagi si concentra in Sud America, principalmente in Brasile, ma anche in Argentina, Colombia, Cile, Perù, Venezuela e altri paesi della regione. Sono possibili casi anche in Portogallo e Italia.
McAfee sottolinea che tali schemi evidenziano la necessità di una maggiore vigilanza quando si lavora con piattaforme aperte come GitHub, poiché gli aggressori le utilizzano sempre più spesso per aggirare i tradizionali meccanismi di blocco. L’azienda ha già segnalato repository dannosi, che sono stati prontamente rimossi, interrompendo temporaneamente la catena di aggiornamenti di Astaroth.
RedazioneNonostante Internet Explorer sia ufficialmente fuori supporto dal giugno 2022, Microsoft ha recentemente dovuto affrontare una minaccia che sfrutta la modalità Internet Explorer (IE Mode) in Edge, pr...
Datacenter nello spazio, lander lunari, missioni marziane: il futuro disegnato da Bezos a Torino. Ma la vera rivelazione è l’aneddoto del nonno che ne svela il profilo umano Anche quest’anno Tori...
E’ stata individuata dagli analisti di Sophos, una complessa operazione di malware da parte di esperti in sicurezza, che utilizza il noto servizio di messaggistica WhatsApp come mezzo per diffondere...
È stata identificata una vulnerabilità critica nell’architettura di sicurezza hardware AMD SEV-SNP, che impatta i principali provider cloud (AWS, Microsoft Azure e Google Cloud). Tale bug consente...
Nel mondo della sicurezza informatica, dove ogni parola pesa e ogni concetto può diventare complesso, a volte basta un’immagine per dire tutto. Un meme, con la sua ironia tagliente e goliardica e l...
