Investigadores de McAfee Labs han documentado una evolución significativa del troyano bancario Astaroth: los operadores emplean GitHub como infraestructura de respaldo para distribuir y actualizar configuraciones de la amenaza. Este uso de una plataforma legítima incrementa la resiliencia operativa; incluso si los servidores de comando y control (C2) son desactivados, el malware recupera parámetros desde repositorios públicos y mantiene su actividad.
GitHub y esteganografía: canal de actualización difícil de bloquear
El elemento más llamativo de la campaña es la externalización de configuraciones a GitHub, donde se ocultan mediante esteganografía dentro de imágenes alojadas en repositorios públicos. Al encapsular las directivas en archivos aparentemente inocuos, los atacantes dificultan el análisis y aseguran un canal redundante para la entrega de ajustes operativos. De acuerdo con McAfee, y en coordinación con el equipo de GitHub, los repositorios vinculados a esta operación fueron retirados, interrumpiendo temporalmente el flujo de actualizaciones.
Alcance regional y verticales afectadas
Aunque el epicentro de Astaroth sigue siendo Brasil, la campaña se extiende por Latinoamérica e incluye objetivos en México, Uruguay, Argentina, Paraguay, Chile, Bolivia, Perú, Ecuador, Colombia, Venezuela y Panamá. El malware se focaliza en banca y criptoactivos, robando credenciales y registrando pulsaciones de teclas al visitar dominios como caixa.gov.br, itau.com.br, santandernet.com.br, btgpactual.com, etherscan.io y binance.com. Para exfiltrar datos, los actores abusan de servicios de túnel reverso como ngrok.
Cadena de infección: de correos de DocuSign a la inyección en RegSvc.exe
La campaña se inicia con phishing que suplanta comunicaciones de DocuSign. La víctima es conducida a un archivo comprimido que contiene un acceso directo de Windows (.LNK). Al abrirlo, se desencadena una cadena de carga por etapas diseñada para evadir controles y dificultar el análisis estático.
LNK, JavaScript y AutoIt: múltiples etapas y ofuscación
El LNK incorpora JavaScript ofuscado que recupera un segundo script desde un host externo. A continuación, desde dominios predefinidos se descargan varios componentes, incluido un script de AutoIt. Este ejecuta shellcode que carga una DLL escrita en Delphi, descifra el módulo principal de Astaroth e inyecta la carga en un nuevo proceso RegSvc.exe. La arquitectura en cascada complica el rastreo de indicadores tradicionales y mejora las probabilidades de bypass de soluciones basadas en firmas.
Antianálisis, persistencia y geofiltro
Astaroth inspecciona el entorno en busca de depuradores y herramientas de ingeniería inversa (IDA Pro, WinDbg, Wireshark, ImmunityDebugger, PE Tools), así como señales de virtualización o emulación. La persistencia se logra con un LNK en la ejecución automática que lanza el script de AutoIt al iniciar el sistema. Además, aplica geofiltrado: ciertas URL iniciales responden solo desde regiones específicas, y si detecta configuración regional inglesa o ubicación en EE. UU., interrumpe su ejecución.
Implicaciones para SOC: abuso de plataformas legítimas y detección basada en comportamiento
El uso de plataformas legítimas (GitHub), esteganografía y cargadores multinivel es consistente con una tendencia observada por múltiples laboratorios de seguridad: los adversarios migran a canales que mezclan tráfico benigno con malicioso para erosionar la visibilidad de controles perimetrales. Ante la posible pérdida del C2 primario, la gestión de configuración descentralizada obliga a los SOC a ampliar el set de indicadores hacia patrones de comportamiento y telemetría de proceso/red, en lugar de depender de dominios o hashes estáticos.
Recomendaciones prácticas de mitigación y detección
Correo y concienciación: bloquear adjuntos y archivos comprimidos con accesos directos .LNK; implementar DMARC, SPF y DKIM; formar a los usuarios para validar dominios y enlaces de DocuSign.
Control de scripts: restringir JavaScript/WSH y AutoIt desde perfiles de usuario con AppLocker/WDAC o políticas de restricción de software; inventariar y firmar scripts autorizados.
EDR y reglas de comportamiento: vigilar cadenas anómalas LNK → wscript/cscript → AutoIt → shellcode → RegSvc.exe; alertar sobre creación de LNK en rutas de inicio; detectar inyección en procesos de servicios y acceso a credenciales del navegador.
Red y proxy: monitorizar solicitudes a contenido “raw” de GitHub, especialmente a imágenes en contextos inusuales; limitar conexiones salientes por mínimo privilegio; identificar y bloquear uso indebido de túneles como ngrok.
Sandboxing y emulación: activar detecciones de antidepuración/anti-VM; simular ubicaciones y configuraciones regionales pertinentes para forzar el comportamiento real y extraer IoCs.
La campaña de Astaroth ilustra cómo la combinación de esteganografía, infraestructura de respaldo en GitHub y cargadores por etapas complica la respuesta defensiva. Las organizaciones deberían revisar el manejo de .LNK y scripts, mejorar la inspección de tráfico hacia GitHub y servicios de túnel, y fortalecer reglas de EDR basadas en comportamiento. Priorizar la higiene operativa, la formación continua y una defensa en profundidad reducirá de forma tangible la superficie de ataque y el riesgo de compromiso.
