Astaroth

Pesquisadores de cibersegurança revelaram uma nova campanha que utiliza o WhatsApp como vetor de distribuição para um trojan bancário chamado Astaroth, visando usuários no Brasil. Denominada Boto Cor-de-Rosa pela Acronis Threat Research Unit, a campanha se destaca pelo uso de um módulo de worm em Python que coleta a lista de contatos do WhatsApp da vítima e envia mensagens maliciosas para cada um deles, facilitando a propagação do malware. O Astaroth, que opera desde 2015, é conhecido por roubar dados financeiros e tem se adaptado a novas táticas, como o uso do WhatsApp, uma plataforma amplamente utilizada no Brasil. A campanha atual, que começou em setembro de 2025, envolve o envio de arquivos ZIP contendo scripts que, ao serem extraídos, instalam o trojan. O malware não só propaga-se automaticamente, mas também monitora a atividade de navegação da vítima, ativando-se em sites bancários para roubar credenciais. A Acronis destacou que o autor do malware implementou um mecanismo para rastrear métricas de propagação em tempo real, aumentando a eficácia do ataque.

O Astaroth, um conhecido trojan bancário, voltou a ser uma ameaça significativa ao abusar de plataformas de nuvem confiáveis, como o GitHub, para manter sua operação. O processo de infecção começa com e-mails de phishing altamente direcionados, que induzem os usuários a baixar um arquivo ZIP contendo um atalho do Windows ofuscado. Ao ser executado, esse atalho ativa um script JavaScript que baixa scripts adicionais, projetados para evitar análise e detecção. O malware é capaz de injetar código na memória, permitindo que ele opere sem deixar rastros no disco. Uma vez instalado, o Astaroth monitora as atividades bancárias e de criptomoedas do usuário, capturando credenciais através de eventos de teclado. O uso do GitHub para armazenar configurações do malware, disfarçadas em imagens PNG, permite que os atacantes atualizem suas operações mesmo após interrupções em seus servidores de comando e controle. A campanha destaca a crescente sofisticação das táticas de cibercriminosos, especialmente em regiões da América do Sul, como o Brasil, onde as instituições financeiras são alvos frequentes. Para se proteger, é crucial que organizações e indivíduos adotem medidas robustas de segurança, como autenticação multifator e monitoramento contínuo de endpoints.

Pesquisadores de cibersegurança alertam sobre uma nova campanha que utiliza o trojan bancário Astaroth, que se aproveita do GitHub como infraestrutura para suas operações. Em vez de depender apenas de servidores de comando e controle (C2) que podem ser desativados, os atacantes hospedam configurações de malware em repositórios do GitHub. Isso permite que o Astaroth continue funcionando mesmo após a desativação de suas infraestruturas principais. O foco principal da campanha é o Brasil, embora o malware também atinja outros países da América Latina. O ataque começa com um e-mail de phishing que simula um documento do DocuSign, levando o usuário a baixar um arquivo que, ao ser aberto, instala o Astaroth. O malware é projetado para monitorar acessos a sites de bancos e criptomoedas, capturando credenciais por meio de keylogging. Além disso, o Astaroth possui mecanismos para resistir à análise e se autodestruir ao detectar ferramentas de depuração. A McAfee, em colaboração com o GitHub, conseguiu remover alguns repositórios utilizados pelo malware, mas a ameaça permanece ativa.