Cibercriminosos estão explorando repositórios legítimos do GitHub para hospedar e distribuir códigos maliciosos usados em ataques de espionagem e roubo de credenciais bancárias. A técnica vem sendo usada pelo trojan Astaroth, um dos malwares mais ativos da América Latina, conhecido por atacar principalmente usuários e empresas brasileiras. A nova campanha do Astaroth utiliza o GitHub para armazenar instruções de ataque e dados de configuração ocultos em imagens, por meio de uma técnica chamada esteganografia.
Esse método permite esconder código malicioso dentro de arquivos aparentemente inofensivos, o que torna extremamente difícil detectar a ameaça por ferramentas de segurança tradicionais. Ao usar uma plataforma legítima e amplamente confiável como o GitHub, os criminosos conseguem manter o malware operacional mesmo após derrubadas de seus servidores principais. Caso os domínios de comando e controle sejam bloqueados, o Astaroth simplesmente acessa novos repositórios para baixar atualizações e continuar ativo. A infecção começa com e-mails falsos da DocuSign, usados para enganar funcionários e induzi-los a baixar arquivos compactados com atalhos (.LNK). Ao abrir o arquivo, o sistema executa automaticamente scripts ofuscados em JavaScript e AutoIt, que instalam o Astaroth e iniciam a coleta de informações. O trojan, escrito em Delphi, monitora a atividade do usuário e captura credenciais digitadas em sites de bancos e carteiras de criptomoedas.
Entre os alvos estão Caixa, Itaú, Santander, BTG Pactual e Binance, além de exchanges locais como Foxbit e BitcoinTrade. O malware também verifica se está sendo analisado e encerra sua execução se detectar ferramentas como Wireshark, IDA Pro ou QEMU. A McAfee Labs, que analisou a nova versão do Astaroth, informou que os ataques estão concentrados no Brasil e em outros países da América do Sul, como Argentina e Chile. O malware ignora sistemas configurados em inglês, o que reforça o foco regional da campanha.
