Schedule a Strategy Call

El troyano bancario Astaroth usa la infraestructura de GitHub para su Command & Control (C2)

Ciberataque masivo a través de GitHub expone millones de credenciales

Investigadores han descubierto una nueva y más resiliente campaña del troyano bancario Astaroth que utiliza repositorios públicos de GitHub como infraestructura de respaldo. El malware aloja sus archivos de configuración, ocultos en imágenes mediante esteganografía, en raw URLs de GitHub. Esta táctica garantiza la continuidad de la operación incluso si los servidores C2 tradicionales son derribados.

Cadena de Infección: De LNK a Esteganografía en GitHub

Astaroth, escrito en Delphi, utiliza una cadena de infección multifase altamente ofuscada y emplea tácticas anti-análisis para evadir sandboxes y herramientas de seguridad.

Infiltración Inicial

  • Phishing → ZIP: La infección arranca con un correo dirigido (spear phishing, a menudo usando plantillas tipo DocuSign o CVs) que descarga un ZIP. Dentro del ZIP, un acceso directo (.lnk) utiliza JavaScript ofuscado.
  • Ejecución Living-Off-the-Land: El .lnk lanza mshta.exe para recuperar y ejecutar un downloader JavaScript (geo-fenced para la región objetivo).
  • Carga en Memoria: El JavaScript descarga un script AutoIt compilado y su intérprete. Este script carga shellcode en memoria que decifra e inyecta la DLL Delphi (el payload Astaroth).
Persistencia y Robo
  • Persistencia: Se deja un .lnk en la carpeta de inicio para relanzar el loader AutoIt.
  • Robo: El malware realiza keylogging y monitorea activamente las ventanas de los navegadores. Cuando detecta sitios bancarios o de criptomonedas en primer plano, captura credenciales y datos.
  • Exfiltración: Para la exfiltración de datos, Astaroth utiliza proxies como Ngrok y un protocolo C2 personalizado.
Resiliencia a través de Esteganografía en GitHub
  • Actualización Resilient: Cada ~2 horas, Astaroth intenta actualizar su archivo de configuración (dump.log). Lo hace leyendo una imagen alojada en un raw URL de GitHub (raw.githubusercontent[.]com) y extrayendo la nueva configuración oculta mediante esteganografía.
  • Evasión de Takedowns: Esta táctica hace que las acciones de takedown de servidores C2 sean menos efectivas, ya que los atacantes pueden desplegar nuevas instrucciones mediante un servicio legítimo y de alta disponibilidad como GitHub.
Señales y TTPs a Detectar

La defensa debe centrarse en bloquear la ejecución de herramientas legítimas en contextos anómalos y monitorear el tráfico hacia servicios cloud públicos.

TTPs de Comportamiento

  • mshta.exe Anómalo: Detección de mshta.exe ejecutándose con argumentos que cargan scripts JS desde URLs externas, o archivos .lnk en carpetas de usuario que lanzan mshta.
  • AutoIt Sospechoso: Detección de AutoIt ejecutándose desde rutas de ProgramData con nombres aleatorios (ej., Corsair.Yoga.*) o procesos que usan inyección de DLL con patrones de comportamiento Delphi.
  • Tráfico a Servicios Públicos: Monitorear descargas desde *.ngrok.io y, críticamente, accesos periódicos (cada ~2 horas) a raw.githubusercontent.com que descarguen imágenes (.png) desde cuentas o repositorios sospechosos.
  • Detección Heurística: Actividad de keylogging correlacionada con ventanas de navegador que contengan dominios bancarios o de criptomonedas.
Indicadores de Compromiso (IOCs)
  • Proxies C2 (Ngrok): 1.tcp.sa.ngrok[.]io:20262, 5.tcp.ngrok[.]io:22934.
  • Servidores de Descarga (Ejemplo): clafenval.medicarium[.]help, sprudiz.medicinatramp[.]click.
  • Patrón de GitHub: https://raw[.]githubusercontent[.]com//dridex2024//razeronline//refs/heads/main/razerlimpa.png (ejemplo de URL con imagen oculta).
Recomendaciones

Crítico

  • Bloqueo y Monitoreo de IOCs: Aplicar listas de bloqueo en proxies, DNS y EDR para los dominios de descarga y proxies Ngrok observados.
  • Detección y Aislamiento: Detectar y aislar hosts con la presencia de scripts AutoIt o .lnk sospechosos, especialmente aquellos que lanzan mshta.exe.
  • Concienciación Rápida: Enviar una alerta interna con ejemplos de señuelos (DocuSign, CVs) y advertir explícitamente a los usuarios de no ejecutar accesos directos (.lnk) descargados de ZIPs.

Alto

  • Harden de mshta: Restringir la ejecución de mshta.exe mediante políticas de AppLocker/WDAC para impedir que se use para descargar scripts remotos en entornos corporativos.
  • Restricción de Binarios: Restringir la ejecución de AutoIt y otros binarios no firmados mediante políticas de whitelisting.
  • Monitoreo de Tráfico: Configurar alertas específicas para llamadas periódicas a raw.githubusercontent.com que descarguen archivos de imagen.

Estratégico

  • Defensa en Profundidad: Implementar MFA obligatorio para todos los servicios bancarios y de criptomonedas.
  • Hunting: Realizar ejercicios que simulen la cadena de detección (mshta AutoIt inyección) para validar la respuesta del EDR ante este tipo de living-off-the-land.
Back to all Post

Related Post