Introducción
Los hackers están desplegando un troyano bancario que utiliza repositorios de GitHub cada vez que sus servidores son desactivados, según investigaciones de la firma de ciberseguridad McAfee. Llamado Astaroth, este virus troyano se propaga a través de correos electrónicos de phishing que invitan a las víctimas a descargar un archivo de Windows (.lnk), el cual instala el malware en la computadora de la víctima.
Funcionamiento del Malware
Astaroth se ejecuta en segundo plano en el dispositivo, utilizando técnicas de keylogging para robar credenciales bancarias y de criptomonedas, y enviando dicha información a través del proxy inverso Ngrok, que actúa como intermediario entre servidores.
Características Únicas
Una de las características más singulares de Astaroth es que utiliza repositorios de GitHub para actualizar su configuración de servidor cada vez que su servidor de comando y control es desactivado, lo que generalmente ocurre debido a la intervención de firmas de ciberseguridad o agencias de aplicación de la ley.
«GitHub no se utiliza para alojar el malware en sí, sino solo para almacenar una configuración que apunta al servidor bot», explicó Abhishek Karnik, Director de Investigación y Respuesta a Amenazas en McAfee.
En una conversación con Decrypt, Karnik detalló que los responsables del malware están utilizando GitHub como un recurso para dirigir a las víctimas a servidores actualizados, lo que marca una diferencia con instancias anteriores en las que GitHub ha sido explotado. Esto incluye un vector de ataque descubierto por McAfee en 2024, donde actores maliciosos insertaron el malware Redline Stealer en repositorios de GitHub, un patrón que se ha repetido este año en la campaña GitVenom.
«Sin embargo, en este caso, no se está alojando malware, sino una configuración que gestiona cómo el malware se comunica con su infraestructura de backend», agregó Karnik.
Objetivos y Alcance
Al igual que en la campaña GitVenom, el objetivo final de Astaroth es exfiltrar credenciales que pueden ser utilizadas para robar criptomonedas de una víctima o para realizar transferencias desde sus cuentas bancarias.
«No tenemos datos sobre cuánto dinero o criptomonedas ha robado, pero parece ser muy prevalente, especialmente en Brasil», comentó Karnik.
Astaroth parece haber centrado su atención principalmente en territorios sudamericanos, incluyendo México, Uruguay, Argentina, Paraguay, Chile, Bolivia, Perú, Ecuador, Colombia, Venezuela y Panamá. Aunque también es capaz de dirigirse a Portugal e Italia, el malware está diseñado de tal manera que no se carga en sistemas de Estados Unidos u otros países de habla inglesa, como Inglaterra.
Medidas de Prevención
El malware apaga su sistema anfitrión si detecta que se está ejecutando software de análisis, mientras que está programado para llevar a cabo funciones de keylogging si detecta que un navegador web está visitando ciertos sitios bancarios. Estos incluyen:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
Además, ha sido diseñado para dirigirse a los siguientes dominios relacionados con criptomonedas:
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
Ante tales amenazas, McAfee aconseja a los usuarios que no abran archivos adjuntos o enlaces de remitentes desconocidos, y que utilicen software antivirus actualizado y autenticación de dos factores.
