Astaroth: como se proteger do Trojan que ataca o Brasil

Nilton Kleina 3 ago 2020

Golpe dividido em etapas usa até o YouTube para se espalhar e faz de tudo para não ser identificado

Astaroth é um demônio poderoso, cujas lendas remontam ao período dos fenícios, ganhando mais popularidade a partir de obras ocultistas escritas durante a Idade Média.

Esse nome foi usado para batizar um malware insistente e de rápida adaptabilidade, agora direcionado ao território brasileiro. Ele utiliza temas sensíveis da atualidade e o nome de empresas de grande porte na tentativa de chegar a mais usuários e, com técnicas avançadas de acobertamento, consegue passar despercebido por alguns sistemas de segurança.

Conheça mais sobre a operação do malware e como evitar ser mais uma das vítimas dessa ameaça virtual.

De cara com a fera

Os ataques do Astaroth foram detectados pela primeira vez em 2019, quando a Microsoft emitiu um comunicado sobre os avanços do golpe. Em agosto do ano passado, a Avast anunciou que cerca de 27 mil usuários foram alvos de mais de 155 mil ataques do malware, na época conhecido como Guildma, um de seus nomes alternativos. Uma postagem completa dissecando o funcionamento da ameaça* foi feita na época por nossa Equipe de Inteligência.

bank

A última variação apareceu em maio de 2020, identificada pela Cisco Talos*, o que indica que ele se adapta rapidamente, evoluindo em forma e sofisticação.

Uma das novidades empregadas é a utilização da pandemia do novo coronavírus (covid-19) como temática para fisgar o usuário em campanhas de phishing, disfarçando a infecção com um link que leva a um falso domínio. Variantes envolvem mensagens sobre status do CPF, pagamento de boletos bancários pendentes e até anúncios de empresas com atuação nacional.

Com cuidado e paciência

O e-mail geralmente tem um anexo para download, como um manual de procedimentos de segurança do Ministério da Saúde; em outros casos, direciona a um site ou uma pasta no Google Drive. Esse domínio tem um atalho de um arquivo compactado no formato LNK que, ao ser baixado, executa a primeira fase da infecção.

O malware Astaroth não é instalado imediatamente no computador. O arquivo inicial opera como "receptáculo" e, aos poucos, coloca os demais componentes do invasor no sistema. Para fazer o download dos segmentos dos arquivos, ele utiliza canais seguros e legalizados de transferência. Uma das etapas de formação do malware envolve a passagem de arquivos pelo Alternate Data Streams (ADS), um fluxo de dados que armazena módulos binários.

Por que é tão perigoso?

O Astaroth é considerado um cibercrime sofisticado em todas as etapas. Até mesmo o phishing é bem elaborado, com mensagens em português relativamente bem escritas e conhecimento do contexto nacional.

Além disso, o malware tem um vasto acervo de técnicas de camuflagem para não ser detectado por sistemas de segurança e poder evitar a sua "captura" por especialistas. Ele até realiza testes em si mesmo para saber se está sendo executado em um ambiente controlado, como uma máquina virtual para simulações, desabilitando os recursos imediatamente em caso positivo.

Outra ação do Astaroth para dificultar o bloqueio é a utilização de serviços de grandes empresas como ferramenta de comunicação, mas de um jeito diferente. Os cibercriminosos criaram diversos canais no YouTube que, em sua descrição de perfil, trazem uma lista de domínios codificados. São eles que contêm as instruções de comando e controle do servidor usado no ataque.

Como a fonte do código é o YouTube (ou o Facebook, em variantes anteriores), a chance de uma barreira de segurança impedir a conexão com essas fontes é baixa. Afinal, essas são plataformas usadas mundialmente por usuários domésticos e corporativos, e não é comum que a troca de dados com elas seja criminosa.

Na forma final, ele é capaz de roubar senhas de acesso a e-mails, redes sociais e outros cadastros do navegador, além de subtrair informações bancárias.

Não seja uma vítima

O Astaroth é um malware perigoso, mas você pode escapar dele mantendo o computador protegido com uma plataforma de segurança completa e em constante atualização, como o Avast Free Antivírus.

Dicas clássicas para evitar golpes de phishing também valem aqui. Para começar, desconfie de anexos e URLs em e-mails que não esperava receber — essa é a fase inicial do golpe, então você não será uma vítima do ataque se não baixar o arquivo que realiza o resto do procedimento.

Nas mensagens, confira o remetente para saber se é mesmo um contato seu ou um órgão oficial. Veja, ainda, se o endereço do anexo corresponde ao domínio da página (preferencialmente sem clicar nele) e procure sinais que indiquem que ela é realmente falsa, como erros de português ou informações fora de contexto.


 

A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.

* Original em inglês.

--> -->