top of page
Foto do escritorDiego Arantes

O Retorno do Malware Bancário Astaroth no Brasil Através de Spear-Phishing

Introdução

O malware bancário Astaroth, também conhecido como Guildma, voltou a circular no Brasil em uma nova onda de ataques cibernéticos. Utilizando técnicas sofisticadas de spear-phishing e scripts ofuscados, esse malware tem sido capaz de contornar várias camadas de segurança, direcionando seus ataques principalmente a empresas brasileiras de setores como manufatura, varejo e governo. Este artigo detalha o funcionamento dessas campanhas, as táticas empregadas e as recomendações de segurança para mitigar o impacto do Astaroth.

O Cenário de Ameaças

Nos últimos meses, a Trend Micro Research detectou um aumento significativo nos ataques de spear-phishing no Brasil. Essas campanhas frequentemente se disfarçam de comunicações legítimas, como documentos de imposto de renda, e chegam às vítimas por e-mail com arquivos anexados, como ZIPs. Ao abrir o arquivo, as vítimas acabam executando scripts maliciosos que instalam o malware Astaroth em seus sistemas. A técnica de spear-phishing utilizada é bastante elaborada, explorando falhas humanas e sociais, como a confiança em autoridades fiscais e a urgência de resolver supostos problemas de conformidade​.


Funcionamento da Infecção

A cadeia de infecção do Astaroth segue um caminho bem delineado:

  1. Entrega do E-mail de Phishing: O ataque começa com um e-mail de spear-phishing disfarçado de comunicação oficial, geralmente simulando uma instituição governamental ou financeira. A mensagem contém um anexo ZIP malicioso.

  2. Execução do Arquivo LNK: Dentro do arquivo ZIP, há um arquivo LNK que, ao ser executado, aciona comandos JavaScript ofuscados. Esses comandos abusam do utilitário legítimo mshta.exe para conectar-se a um servidor de Comando e Controle (C&C) e iniciar a infecção.

  3. Comandos JavaScript Maliciosos: O arquivo LNK contém scripts codificados em Base64, que ao serem decodificados, revelam URLs maliciosas que estabelecem comunicação com os servidores de controle. A função GetObject é utilizada para recuperar objetos maliciosos, iniciando a comunicação com os servidores C&C.

  4. Evasão de Defesas: Uma das características mais notáveis do Astaroth é sua capacidade de evadir sistemas de defesa. Ele utiliza o mshta.exe, um aplicativo legítimo da Microsoft, para mascarar suas ações, tornando difícil sua detecção por soluções de segurança tradicionais.


Táticas e Técnicas (MITRE ATT&CK)

A campanha de spear-phishing que distribui o Astaroth utiliza uma série de táticas que podem ser classificadas sob a estrutura MITRE ATT&CK. Algumas das táticas e técnicas observadas incluem:

  • Initial Access (T1566.001): O acesso inicial é obtido através de e-mails de phishing, uma técnica comum, mas eficaz, para ganhar uma posição dentro da rede alvo.

  • Execution (T1204.002 e T1059.007): A execução do código malicioso ocorre através de arquivos LNK e comandos JavaScript ofuscados.

  • Defense Evasion (T1218.005 e T1036.008): O uso de ferramentas legítimas do Windows, como o mshta.exe, é uma tática eficaz para evitar a detecção.

  • Command and Control (T1568.002): Uma vez infectado, o sistema comprometido se comunica com servidores remotos através de URLs maliciosas, estabelecendo o controle pelo adversário.


Recomendações de Mitigação

Diante da sofisticação das campanhas de spear-phishing que utilizam o Astaroth, é fundamental adotar práticas de segurança robustas para proteger sistemas e redes. As seguintes recomendações são essenciais:

  1. Mantenha o Software Atualizado: Manter sistemas operacionais, navegadores e antivírus sempre atualizados é crucial para evitar que vulnerabilidades sejam exploradas.

  2. Use Soluções de Segurança Confiáveis: Ferramentas de segurança robustas, como antivírus e sistemas de detecção de intrusão, são fundamentais para bloquear tentativas de infecção.

  3. Cuidado com E-mails Suspeitos: Evite clicar em links ou abrir anexos de e-mails de remetentes desconhecidos ou suspeitos. As campanhas de spear-phishing que disseminam o Astaroth geralmente exploram temas urgentes, como impostos e pendências financeiras.

  4. Desative Scripts Não Necessários: Desativar a execução automática de scripts como JScript e VBScript pode prevenir a execução automática de cargas maliciosas.

  5. Educação e Conscientização: Promova treinamentos para que os usuários estejam cientes das ameaças e saibam identificar tentativas de phishing.

  6. Backup Regular de Dados: Realizar backups frequentes é essencial para garantir a recuperação de dados sem depender de soluções de resgate em caso de infecção​.


Indicadores de Comprometimento (IoCs)

A análise das campanhas envolvendo o Astaroth identificou uma série de Indicadores de Comprometimento (IoCs), incluindo URLs e domínios suspeitos que devem ser monitorados. Entre eles estão:

  • URLs Maliciosas:

    • hxxps://pritonggopatrimoniosoberano.mundo/?5/

    • hxxps://spunalu.patrimoniosoberano.mundo/?5/

Essas URLs, entre outras, pertencem ao domínio patrimoniosoberano[.]world e indicam conexões com os servidores de Comando e Controle (C&C) do Astaroth.


Conclusão

O retorno do malware bancário Astaroth ao Brasil através de spear-phishing destaca a necessidade crescente de aprimorar as defesas cibernéticas. Com técnicas de evasão avançadas e métodos sofisticados de disseminação, o Astaroth representa uma ameaça significativa para empresas e usuários brasileiros. A implementação de práticas de segurança, educação contínua e monitoramento de IoCs são passos essenciais para mitigar o impacto dessas campanhas maliciosas.


Referência:

1 visualização0 comentário

Posts recentes

Ver tudo

Comments


bottom of page