Los piratas informáticos robandentcriptográficas en GitHub con el troyano bancario Astaroth

Los hackers están robandodentde criptomonedas en GitHub con un troyano bancario llamado Astaroth. El desarrollo se reveló tras una investigación de la firma de ciberseguridad McAfee. La empresa afirmó que el troyano utiliza repositorios de GitHub cuando sus servidores son desconectados.

Según los investigadores, el troyano bancario Astaroth es un virus que se propaga a través de de phishing que invitan a las víctimas a descargar un archivo de Windows (.lnk).

Tras descargar el archivo, la víctima instala malware en el ordenador host. Astaroth se ejecuta en segundo plano en el dispositivo de la víctima, utilizando keylogging para robardentbancarias y de criptomonedas. Dichasdentse envían a los hackers a través del proxy inverso Ngrok (un intermediario entre servidores).

Los piratas informáticos utilizan el troyano Astaroth para robardentcriptográficas

Una de las características únicas es que Astaroth utiliza repositorios de GitHub para actualizar la configuración de su servidor cada vez que su servidor de comando y control se cae. Esto suele ocurrir debido a la intervención de empresas de ciberseguridad o de las fuerzas del orden.

“GitHub no se utiliza para alojar el malware en sí, sino solo para alojar una configuración que apunta al servidor del bot”, dijo Abhishek Karnik, director de investigación y respuesta ante amenazas en McAfee.

Karnik explicó que los responsables de la distribución del malware utilizan GitHub como recurso para redirigir a las víctimas a servidores actualizados, lo que diferencia este ataque de casos anteriores en los que se ha utilizado GitHub. Esto incluye un vector de ataque descubierto por McAfee en 2024, en el que los hackers insertaron el malware Redline Stealer en repositorios de GitHub, algo que se ha repetido este año en la campaña GitVenom.

“Sin embargo, en este caso, no se trata de malware alojado, sino de una configuración que gestiona cómo se comunica el malware con su infraestructura de backend”, añadió Karnik.

Al igual que con la campaña GitVenom, el objetivo de los ciberdelincuentes detrás de Astaroth es extraerdentque puedan usarse para robar los activos digitales de sus víctimas o realizar transferencias desde sus cuentas bancarias. "No tenemos datos sobre la cantidad de dinero o criptomonedas que ha robado, pero parece ser un fenómeno muy común, especialmente en Brasil", declaró Karnik.

Investigadores observan prevalencia de malware en Sudamérica

Según informes, parece que Astaroth se ha utilizado principalmente en países sudamericanos, como México, Uruguay, Panamá, Colombia, Ecuador y Chile. También se ha utilizado en Perú, Venezuela, Paraguay y Argentina.

Si bien el malware también puede utilizarse para atacar a usuarios de Portugal e Italia, ha sido codificado de tal manera que no se carga en sistemas de Estados Unidos ni en otros países donde el inglés es el idioma principal, como Inglaterra.

El malware puede apagar su sistema host si detecta que se está ejecutando un software de análisis, y está diseñado para ejecutar funciones de keylogging si detecta que un navegador web visita ciertos sitios web bancarios. Estos incluyen safra.com.br, btgpactual.com, caixa.gov.br, santandernet.com.br, itau.com.bry bancooriginal.com.br. También está diseñado para atacar dominios de criptomonedas como localbitcoins.com, bitcointrade.com.br, foxbit.com.br, etherscan.io y metamask.io.

Ante estas amenazas, McAfee instó a los usuarios a no abrir archivos adjuntos ni enlaces de remitentes desconocidos. Además, les recomendó asegurarse de utilizar un software antivirus actualizado y autenticación de dos factores.

Kaspersky también instó a los usuarios a estar atentos, especialmente al realizar actividades en plataformas como GitHub, donde se comparten códigos y la plataforma es utilizada por millones de desarrolladores en todo el mundo.