Pesquisadores de cibersegurança alertam sobre uma nova campanha que utiliza o trojan bancário Astaroth, que se aproveita do GitHub como infraestrutura para suas operações. Em vez de depender apenas de servidores de comando e controle (C2) que podem ser desativados, os atacantes hospedam configurações de malware em repositórios do GitHub. Isso permite que o Astaroth continue funcionando mesmo após a desativação de suas infraestruturas principais. O foco principal da campanha é o Brasil, embora o malware também atinja outros países da América Latina. O ataque começa com um e-mail de phishing que simula um documento do DocuSign, levando o usuário a baixar um arquivo que, ao ser aberto, instala o Astaroth. O malware é projetado para monitorar acessos a sites de bancos e criptomoedas, capturando credenciais por meio de keylogging. Além disso, o Astaroth possui mecanismos para resistir à análise e se autodestruir ao detectar ferramentas de depuração. A McAfee, em colaboração com o GitHub, conseguiu remover alguns repositórios utilizados pelo malware, mas a ameaça permanece ativa.
Fonte: https://thehackernews.com/2025/10/astaroth-banking-trojan-abuses-github.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
13/10/2025 • Risco: ALTO
MALWARE
Trojan bancário Astaroth usa GitHub para se manter ativo no Brasil
RESUMO EXECUTIVO
O Astaroth representa uma ameaça significativa para instituições financeiras no Brasil, utilizando técnicas avançadas de persistência e evasão. A capacidade de se atualizar via GitHub torna a detecção e mitigação mais desafiadoras, exigindo atenção contínua das equipes de segurança.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras significativas devido ao roubo de credenciais.
Operacional
Roubo de credenciais bancárias e de criptomoedas.
Setores vulneráveis
['Setor financeiro', 'Setor de criptomoedas']
📊 INDICADORES CHAVE
Astaroth já atacou diversos países da América Latina.
Indicador
O malware é projetado para monitorar acessos a sites de bancos e criptomoedas.
Contexto BR
O malware se autodestrói ao detectar ferramentas de análise.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de acesso e atividades suspeitas em sistemas financeiros.
2
Implementar filtros de e-mail para bloquear mensagens de phishing e monitorar downloads.
3
Monitorar continuamente acessos a sites de bancos e criptomoedas, além de atividades de rede relacionadas ao Ngrok.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a resiliência do Astaroth e sua capacidade de se adaptar a desativações de infraestrutura, o que pode dificultar a mitigação de riscos.
⚖️ COMPLIANCE
Implicações legais e de compliance relacionadas à LGPD e proteção de dados financeiros.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
