Redazione RHC : 14 Ottobre 2025 16:00
I ricercatori di McAfee hanno segnalato una nuova attività del trojan bancario Astaroth, che ha iniziato a utilizzare GitHub come canale persistente per la distribuzione dei dati di configurazione.
Questo approccio consente agli aggressori di mantenere il controllo sui dispositivi infetti anche dopo la disattivazione dei server di comando e controllo primari, aumentando significativamente la capacità di sopravvivenza del malware e complicandone la neutralizzazione.
L’attacco inizia con un’e-mail di phishing mascherata da notifica di servizi popolari come DocuSign o contenente presumibilmente il curriculum di un candidato. Il corpo dell’e-mail contiene un collegamento per scaricare un archivio ZIP.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
All’interno è presente un file di collegamento (.lnk) che avvia JavaScript nascosto tramite mshta.exe. Questo script scarica un nuovo set di file da un server remoto, il cui accesso è geograficamente limitato: il malware viene scaricato solo sui dispositivi nelle regioni prese di mira.
Il kit scaricato include uno script AutoIT, un interprete AutoIT, il corpo crittografato del Trojan stesso e un file di configurazione separato. Lo script distribuisce lo shellcode in memoria e inietta un file DLL nel processo RegSvc.exe, utilizzando tecniche di bypass dell’analisi e la sostituzione dell’API standard kernel32.dll.
Il modulo scaricato, scritto in Delphi, controlla accuratamente l’ambiente: se viene rilevato un sandbox, un debugger o un sistema con impostazioni locali in inglese, l’esecuzione viene immediatamente terminata.
Astaroth monitora costantemente le finestre aperte. Se l’utente visita il sito web di una banca o di un servizio di criptovaluta, il trojan attiva un keylogger, intercettando tutte le sequenze di tasti. Prende di mira nomi di classi di Windows, come Chrome, Mozilla, IEframe e altri. Le risorse prese di mira includono i siti web delle principali banche brasiliane e piattaforme di criptovaluta, tra cui Binance, Metamask , Etherscan e LocalBitcoins. Tutti i dati rubati vengono trasmessi al server degli aggressori utilizzando un protocollo proprietario o tramite il servizio reverse proxy Ngrok.
Una caratteristica unica di questa campagna è che Astaroth utilizza GitHub per aggiornare la propria configurazione. Ogni due ore, il trojan scarica un’immagine PNG da un repository aperto contenente una configurazione crittografata steganograficamente. I repository scoperti contenevano immagini con un formato di denominazione predefinito e sono stati prontamente rimossi su richiesta dei ricercatori. Tuttavia, questo approccio dimostra come le piattaforme legittime possano essere utilizzate come canale di comunicazione di riserva per il malware.
Per infiltrarsi nel sistema, il trojan inserisce un collegamento nella cartella di avvio, assicurandosi che venga eseguito automaticamente a ogni avvio del computer. Nonostante la complessità tecnica dell’attacco, il vettore principale rimane l’ingegneria sociale e la fiducia degli utenti nelle e-mail.
Durante l’indagine, gli specialisti hanno scoperto che la maggior parte dei contagi si concentra in Sud America, principalmente in Brasile, ma anche in Argentina, Colombia, Cile, Perù, Venezuela e altri paesi della regione. Sono possibili casi anche in Portogallo e Italia.
McAfee sottolinea che tali schemi evidenziano la necessità di una maggiore vigilanza quando si lavora con piattaforme aperte come GitHub, poiché gli aggressori le utilizzano sempre più spesso per aggirare i tradizionali meccanismi di blocco. L’azienda ha già segnalato repository dannosi, che sono stati prontamente rimossi, interrompendo temporaneamente la catena di aggiornamenti di Astaroth.
RedazioneROMA – La profonda crisi istituzionale che ha investito l’Autorità Garante per la Protezione dei Dati Personali ha spinto Guido Scorza, componente del Collegio, a un intervento pubblico mirato a ...
Negli ultimi anni, il panorama della sicurezza informatica in Italia ha visto una preoccupante escalation di attacchi, con un aumento significativo dei crimini informatici. Un fenomeno particolarmente...
Quest’autunno, abbiamo avuto un bel po’ di grattacapi con il cloud, non so se ci avete fatto caso. Cioè, AWS, Azure, e dopo Cloudflare. Tutti giù, uno dopo l’altro. Una sfilza di interruzioni ...
Il CERT-AGID ha rilevato recentemente una sofisticata campagna di phishing mirato che sta prendendo di mira gli studenti dell’Università di Padova (UniPd). L’operazione, ancora in corso, sfrutta ...
Gli esperti del Group-IB hanno presentato un’analisi dettagliata della lunga campagna di UNC2891, che ha dimostrato la continua sofisticatezza degli schemi di attacco agli sportelli bancomat. L’at...
