Introdução
O malware bancário Astaroth, também conhecido como Guildma, voltou a circular no Brasil em uma nova onda de ataques cibernéticos. Utilizando técnicas sofisticadas de spear-phishing e scripts ofuscados, esse malware tem sido capaz de contornar várias camadas de segurança, direcionando seus ataques principalmente a empresas brasileiras de setores como manufatura, varejo e governo. Este artigo detalha o funcionamento dessas campanhas, as táticas empregadas e as recomendações de segurança para mitigar o impacto do Astaroth.
O Cenário de Ameaças
Nos últimos meses, a Trend Micro Research detectou um aumento significativo nos ataques de spear-phishing no Brasil. Essas campanhas frequentemente se disfarçam de comunicações legítimas, como documentos de imposto de renda, e chegam às vítimas por e-mail com arquivos anexados, como ZIPs. Ao abrir o arquivo, as vítimas acabam executando scripts maliciosos que instalam o malware Astaroth em seus sistemas. A técnica de spear-phishing utilizada é bastante elaborada, explorando falhas humanas e sociais, como a confiança em autoridades fiscais e a urgência de resolver supostos problemas de conformidade.
Funcionamento da Infecção
A cadeia de infecção do Astaroth segue um caminho bem delineado:
Entrega do E-mail de Phishing: O ataque começa com um e-mail de spear-phishing disfarçado de comunicação oficial, geralmente simulando uma instituição governamental ou financeira. A mensagem contém um anexo ZIP malicioso.
Execução do Arquivo LNK: Dentro do arquivo ZIP, há um arquivo LNK que, ao ser executado, aciona comandos JavaScript ofuscados. Esses comandos abusam do utilitário legítimo mshta.exe para conectar-se a um servidor de Comando e Controle (C&C) e iniciar a infecção.
Comandos JavaScript Maliciosos: O arquivo LNK contém scripts codificados em Base64, que ao serem decodificados, revelam URLs maliciosas que estabelecem comunicação com os servidores de controle. A função GetObject é utilizada para recuperar objetos maliciosos, iniciando a comunicação com os servidores C&C.
Evasão de Defesas: Uma das características mais notáveis do Astaroth é sua capacidade de evadir sistemas de defesa. Ele utiliza o mshta.exe, um aplicativo legítimo da Microsoft, para mascarar suas ações, tornando difícil sua detecção por soluções de segurança tradicionais.
Táticas e Técnicas (MITRE ATT&CK)
A campanha de spear-phishing que distribui o Astaroth utiliza uma série de táticas que podem ser classificadas sob a estrutura MITRE ATT&CK. Algumas das táticas e técnicas observadas incluem:
Initial Access (T1566.001): O acesso inicial é obtido através de e-mails de phishing, uma técnica comum, mas eficaz, para ganhar uma posição dentro da rede alvo.
Execution (T1204.002 e T1059.007): A execução do código malicioso ocorre através de arquivos LNK e comandos JavaScript ofuscados.
Defense Evasion (T1218.005 e T1036.008): O uso de ferramentas legítimas do Windows, como o mshta.exe, é uma tática eficaz para evitar a detecção.
Command and Control (T1568.002): Uma vez infectado, o sistema comprometido se comunica com servidores remotos através de URLs maliciosas, estabelecendo o controle pelo adversário.
Recomendações de Mitigação
Diante da sofisticação das campanhas de spear-phishing que utilizam o Astaroth, é fundamental adotar práticas de segurança robustas para proteger sistemas e redes. As seguintes recomendações são essenciais:
Mantenha o Software Atualizado: Manter sistemas operacionais, navegadores e antivírus sempre atualizados é crucial para evitar que vulnerabilidades sejam exploradas.
Use Soluções de Segurança Confiáveis: Ferramentas de segurança robustas, como antivírus e sistemas de detecção de intrusão, são fundamentais para bloquear tentativas de infecção.
Cuidado com E-mails Suspeitos: Evite clicar em links ou abrir anexos de e-mails de remetentes desconhecidos ou suspeitos. As campanhas de spear-phishing que disseminam o Astaroth geralmente exploram temas urgentes, como impostos e pendências financeiras.
Desative Scripts Não Necessários: Desativar a execução automática de scripts como JScript e VBScript pode prevenir a execução automática de cargas maliciosas.
Educação e Conscientização: Promova treinamentos para que os usuários estejam cientes das ameaças e saibam identificar tentativas de phishing.
Backup Regular de Dados: Realizar backups frequentes é essencial para garantir a recuperação de dados sem depender de soluções de resgate em caso de infecção.
Indicadores de Comprometimento (IoCs)
A análise das campanhas envolvendo o Astaroth identificou uma série de Indicadores de Comprometimento (IoCs), incluindo URLs e domínios suspeitos que devem ser monitorados. Entre eles estão:
URLs Maliciosas:
hxxps://pritonggopatrimoniosoberano.mundo/?5/
hxxps://spunalu.patrimoniosoberano.mundo/?5/
Essas URLs, entre outras, pertencem ao domínio patrimoniosoberano[.]world e indicam conexões com os servidores de Comando e Controle (C&C) do Astaroth.
Conclusão
O retorno do malware bancário Astaroth ao Brasil através de spear-phishing destaca a necessidade crescente de aprimorar as defesas cibernéticas. Com técnicas de evasão avançadas e métodos sofisticados de disseminação, o Astaroth representa uma ameaça significativa para empresas e usuários brasileiros. A implementação de práticas de segurança, educação contínua e monitoramento de IoCs são passos essenciais para mitigar o impacto dessas campanhas maliciosas.
Comments