Una PNG che contiene un Trojan. Astaroth abusa GitHub con persistenza

I ricercatori di McAfee hanno segnalato una nuova attività del trojan bancario Astaroth, che ha iniziato a utilizzare GitHub come canale persistente per la distribuzione dei dati di configurazione.

Questo approccio consente agli aggressori di mantenere il controllo sui dispositivi infetti anche dopo la disattivazione dei server di comando e controllo primari, aumentando significativamente la capacità di sopravvivenza del malware e complicandone la neutralizzazione.

L’attacco inizia con un’e-mail di phishing mascherata da notifica di servizi popolari come DocuSign o contenente presumibilmente il curriculum di un candidato. Il corpo dell’e-mail contiene un collegamento per scaricare un archivio ZIP.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

All’interno è presente un file di collegamento (.lnk) che avvia JavaScript nascosto tramite mshta.exe. Questo script scarica un nuovo set di file da un server remoto, il cui accesso è geograficamente limitato: il malware viene scaricato solo sui dispositivi nelle regioni prese di mira.

Il kit scaricato include uno script AutoIT, un interprete AutoIT, il corpo crittografato del Trojan stesso e un file di configurazione separato. Lo script distribuisce lo shellcode in memoria e inietta un file DLL nel processo RegSvc.exe, utilizzando tecniche di bypass dell’analisi e la sostituzione dell’API standard kernel32.dll.

Il modulo scaricato, scritto in Delphi, controlla accuratamente l’ambiente: se viene rilevato un sandbox, un debugger o un sistema con impostazioni locali in inglese, l’esecuzione viene immediatamente terminata.

Astaroth monitora costantemente le finestre aperte. Se l’utente visita il sito web di una banca o di un servizio di criptovaluta, il trojan attiva un keylogger, intercettando tutte le sequenze di tasti. Prende di mira nomi di classi di Windows, come Chrome, Mozilla, IEframe e altri. Le risorse prese di mira includono i siti web delle principali banche brasiliane e piattaforme di criptovaluta, tra cui Binance, Metamask , Etherscan e LocalBitcoins. Tutti i dati rubati vengono trasmessi al server degli aggressori utilizzando un protocollo proprietario o tramite il servizio reverse proxy Ngrok.

Una caratteristica unica di questa campagna è che Astaroth utilizza GitHub per aggiornare la propria configurazione. Ogni due ore, il trojan scarica un’immagine PNG da un repository aperto contenente una configurazione crittografata steganograficamente. I repository scoperti contenevano immagini con un formato di denominazione predefinito e sono stati prontamente rimossi su richiesta dei ricercatori. Tuttavia, questo approccio dimostra come le piattaforme legittime possano essere utilizzate come canale di comunicazione di riserva per il malware.

Per infiltrarsi nel sistema, il trojan inserisce un collegamento nella cartella di avvio, assicurandosi che venga eseguito automaticamente a ogni avvio del computer. Nonostante la complessità tecnica dell’attacco, il vettore principale rimane l’ingegneria sociale e la fiducia degli utenti nelle e-mail.

Durante l’indagine, gli specialisti hanno scoperto che la maggior parte dei contagi si concentra in Sud America, principalmente in Brasile, ma anche in Argentina, Colombia, Cile, Perù, Venezuela e altri paesi della regione. Sono possibili casi anche in Portogallo e Italia.

McAfee sottolinea che tali schemi evidenziano la necessità di una maggiore vigilanza quando si lavora con piattaforme aperte come GitHub, poiché gli aggressori le utilizzano sempre più spesso per aggirare i tradizionali meccanismi di blocco. L’azienda ha già segnalato repository dannosi, che sono stati prontamente rimossi, interrompendo temporaneamente la catena di aggiornamenti di Astaroth.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.