Il trojan bancario Astaroth si conferma una delle minacce informatiche più avanzate e persistenti nell’ambito della sicurezza finanziaria, soprattutto in America Latina. Recentemente, i ricercatori di cybersecurity hanno scoperto una nuova campagna che utilizza GitHub come piattaforma principale per garantire la resilienza delle sue operazioni anche in caso di blocchi o rimozione dei server di comando e controllo tradizionali. Questo approccio innovativo permette agli operatori di Astaroth di aggiornare rapidamente le configurazioni del malware, mantenendo attivi gli attacchi senza interruzioni.

Vettore di attacco e funzionamento

Il vettore di attacco principale parte da email di phishing a tema DocuSign, con un link che scarica un file compresso contenente una scorciatoia di Windows (file .lnk). Una volta aperto, questo file esegue uno script JavaScript offuscato che si occupa di scaricare ulteriore codice da server esterni. Successivamente, viene eseguito uno script AutoIt che abilita il caricamento di shellcode malevolo e l’iniezione di una DLL scritta in Delphi direttamente in un nuovo processo RegSvc.exe. È proprio in questa fase che il malware Astaroth entra in azione, pronto a monitorare le attività dell’utente.

Obiettivi e tecniche di furto dati

Astaroth è specializzato nel rubare le credenziali di accesso a servizi bancari e piattaforme di criptovalute, sfruttando tecniche di keylogging. Il malware controlla costantemente le finestre attive del browser e, quando rileva la visita a siti finanziari specifici, attiva le sue funzioni di intercettazione della tastiera. Tra i siti più colpiti figurano istituti bancari brasiliani come caixa.gov.br, itau.com.br e santandernet.com.br, oltre a piattaforme globali di criptovalute come binance.com e metamask.io.

Comunicazione, evasione e persistenza

Per trasmettere i dati rubati, Astaroth utilizza servizi di proxy inverso come Ngrok, garantendo anonimato e difficoltà di tracciamento. Inoltre, il malware implementa sofisticate tecniche di evasione delle analisi, disattivandosi automaticamente se rileva ambienti virtuali, debugger o strumenti di analisi come QEMU, IDA Pro o Wireshark. La persistenza è assicurata posizionando un collegamento nella cartella di avvio di Windows, così da essere eseguito automaticamente a ogni riavvio del sistema.

Uso di GitHub e steganografia

Particolarmente insidioso è l’uso di GitHub per caricare le configurazioni: attraverso immagini contenenti dati nascosti tramite steganografia, Astaroth può ricevere nuovi ordini anche se i server principali vengono chiusi. Questo rende il malware estremamente difficile da neutralizzare, poiché sfrutta un’infrastruttura legittima e diffusa come quella di GitHub per restare operativo.