s0373-astaroth - RunkIntel

# Astaroth (Guildma) > [!danger] Ameaça Critica - Brasil > Banking trojan de origem brasileira ativo desde 2017. Concentra **91-95% das infeccoes no Brasil**. Conhecido por uso massivo de LOLBins nativos do Windows e, a partir de 2025-2026, por um módulo worm de autopropagação via Python/WhatsApp que transforma cada vitima em vetor de distribuição para centenas de contatos confiáveis. ## Visão Geral [[s0373-astaroth|Astaroth]] (rastreado como **Guildma** por pesquisadores e como **Water Makara** pela Sophos) e um banking trojan de origem **brasileira** ativo desde pelo menos 2017, com foco primario em usuarios brasileiros e alcance expandido para Mexico, Argentina e Portugal. Pertence a familia de ameaças latinas conhecida como a **"Tetrade" de banking trojans** ao lado de [[casbaneiro|Casbaneiro/Metamorfo]], [[mekotio|Mekotio]] e Javali. O Astaroth e notavel por sua disciplina operacional: verifica locale, presenca de debuggers, ferramentas de análise (IDA Pro, WinDbg, Wireshark), ambientes virtuais (QEMU, VMware) e uptime do sistema antes de ativar qualquer módulo. Encerra ou reinicia o sistema ao detectar ambiente de análise. Essa resiliência anti-análise contribui diretamente para sua longevidade desde 2017. Em 2025-2026, o grupo evoluiu para incluir um **módulo worm via WhatsApp em Python** (campanhas Boto Cor-de-Rosa e STAC3150), tornando-o uma das primeiras familias de banking trojans a explorar sistematicamente aplicativos de mensagens para autopropagação em massa. O Brasil tem 169+ milhões de usuarios de WhatsApp - o maior uso per capita do mundo - o que amplifica dramaticamente o vetor de infecção. | Campo | Detalhe | |-------|---------| | **Tipo** | Banking Trojan + Infostealer + Worm | | **Linguagem** | Delphi (payload) + VBScript/AutoIt (loader) + Python (worm 2026) | | **Primeira observacao** | 2017 | | **Status** | Ativo - campanhas em 2025-2026 | | **MITRE ID** | S0373 | | **Alcance** | 91-95% das infeccoes no Brasil | ## Como Funciona A cadeia de infecção do Astaroth e multi-estagio e fileless, dependendo de LOLBins nativos do Windows em cada etapa: **Estagio 1 - Entrega:** E-mail de phishing ou mensagem WhatsApp com arquivo ZIP (ex: `552_516107-a9af16a8-552.zip`). O ZIP contem um arquivo LNK ou VBScript ofuscado (50-100 KB). Temas de lure incluem declaracoes de Imposto de Renda, comúnicados da Receita Federal brasileira e notas fiscais. **Estagio 2 - Execução via LOLBins:** O arquivo LNK invoca `mshta.exe` ou `finger.exe` (LOLBin descoberto em uso pelo Astaroth em 2020, retornado em campanhas recentes). Variantes anteriores usaram `wmic.exe` e `ExtExport`. O objetivo e carregar VBScript ou AutoIt de forma fileless, sem gravar payloads em disco. **Estagio 3 - Loader e Anti-análise:** O VBScript verifica: (a) locale pt-BR; (b) presenca de ferramentas de análise; (c) ambiente virtual; (d) uptime do sistema. Se qualquer verificação falhar, o processo encerra silenciosamente. **Estagio 4 - Dead Drop Resolver e C2:** O Astaroth nao hardcodeia enderecos C2. Em vez disso, consulta servicos legitimos (historicamente Google Docs, YouTube, pastebin; em 2025 passou a usar **repositorios GitHub** para recuperar configuracoes ocultas em imagens PNG via **esteganografia**). O malware verifica repositorios a cada 2 horas, extraindo configuracoes cifradas (como a lista de URLs bancarias alvo) de imagens aparentemente normais (ex: `razerlimpa.png`). Em caso de takedown do C2 primario, o fallback via GitHub garante continuidade operacional. **Estagio 5 - Payload Principal:** DLL Delphi carregada em memoria via `regsvr32.exe` sem gravacao em disco. O payload usa hooking de funções exportadas para execução in-memory e NTFS Alternaté Data Streams (ADS) para armazenamento fileless. Ativa módulos conforme jánelas bancarias detectadas (T1010 - Application Window Discovery). **Estagio 6 (2025-2026) - Módulo Worm WhatsApp:** Script Python automatiza o envio de ZIP malicioso via automacao de browser WhatsApp Web para todos os contatos da vitima. Cada maquina infectada multiplica o alcance da campanha sem intervencao do operador. ## Attack Flow ```mermaid graph TB A["📧 Phishing / WhatsApp ZIP com LNK ou VBS Lure: Receita Federal / IR"] --> B["🔧 LOLBins mshta.exe / finger.exe Execução fileless"] B --> C["🔍 Anti-análise Verifica locale pt-BR VM / debugger / sandbox"] C --> D["🔄 Dead Drop C2 GitHub stego PNG Verifica a cada 2h"] D --> E["💉 DLL Delphi em memoria regsvr32 + ADS Hooking de exportadas"] E --> F["🏦 Banking Monitor Overlay + keylog 91% vitimas no Brasil"] E --> G["🐍 Worm WhatsApp Python autopropaga ZIP para todos os contatos"] F --> H["📤 Exfiltração C2 HTTPS POST / Ngrok Credenciais + screenshots"] classDef delivery fill:#e74c3c,stroke:#c0392b,color:#fff classDef evasion fill:#f39c12,stroke:#d68910,color:#fff classDef c2 fill:#2980b9,stroke:#1a5276,color:#fff classDef payload fill:#8e44ad,stroke:#7d3c98,color:#fff classDef impact fill:#c0392b,stroke:#922b21,color:#fff class A delivery class B,C evasion class D c2 class E payload class F,G,H impact ``` ## Timeline de Evolução ```mermaid timeline title Astaroth - Evolução 2017-2026 2017 : Primeiras amostras identificadas : Foco inicial em Europa e Brasil 2019 : Uso documentado de Google Docs como Dead Drop : Introdução de LOLBins mshta e wmic 2020 : finger.exe adicionado como LOLBin de download : Campanhas com lure de Receita Federal 2021 : Operacoes internacionais de disruptacao : Resurgimento com novas TTPs 2022 : Expansao de alvos para LATAM : Adocao de Ngrok para C2 encoberto 2024 : Campanhas Water Makara e PINEAPPLE : Abuso de GitHub para configs esteganograficas 2025 : STAC3150 - 95% das vitimas no Brasil : Módulo worm Python/WhatsApp 2026 : Boto Cor-de-Rosa - autopropagação em massa : GitHub stego como C2 resiliente ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|---------------| | Acesso Inicial | [[t1566-001-spearphishing-attachment\|T1566.001]] | Phishing com ZIP/LNK imitando Receita Federal | | Execução | [[t1059-005-visual-basic\|T1059.005]] | VBScript ofuscado multi-estagio | | Execução | [[t1218-010-regsvr32\|T1218.010]] | Carregamento de DLL via regsvr32 | | Evasão | [[t1027-002-software-packing\|T1027.002]] | Payload DLL compactado e cifrado | | Evasão | [[t1027-013-encryptedencoded-file\|T1027.013]] | Configs cifradas em imagens PNG (esteganografia) | | Evasão | [[t1497-001-system-checks\|T1497.001]] | Verificação de VM, debuggers, locale pt-BR | | Evasão | [[t1564-003-hidden-window\|T1564.003]] | Execução sem jánela visivel | | Evasão | [[t1140-deobfuscatedecode-files-or-information\|T1140]] | Deofuscacao de payload em memoria | | Persistência | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | LNK na pasta startup para persistência | | Descoberta | [[t1082-system-information-discovery\|T1082]] | Coleta de info do sistema antes da ativacao | | Descoberta | [[t1057-process-discovery\|T1057]] | Enumeracao de processos para detectar AV/analysis | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogging durante sessoes bancarias | | Coleta | [[t1115-clipboard-data\|T1115]] | Substituicao de enderecos de crypto copiados | | C2 | [[t1102-001-dead-drop-resolver\|T1102.001]] | GitHub / YouTube / Google Docs como Dead Drop | | C2 | [[t1071-001-web-protocols\|T1071.001]] | HTTPS POST via Ngrok para exfiltração | | C2 | [[t1132-001-standard-encoding\|T1132.001]] | Dados codificados em Base64 na comunicação C2 | ## Relevância LATAM/Brasil > [!danger] Impacto Regional > O Astaroth e a ameaça financeira de origem brasileira com **maior escala historica** no pais. Em 2025, a campanha STAC3150 teve mais de **95% dos dispositivos infectados localizados no Brasil**. O malware monitora ativamente URLs de Santander, Banco do Brasil, Caixa Economica Federal, Sicredi, Bradesco e exchanges de criptomoedas como Foxbit e Mercado Bitcoin. A inovacao do módulo worm via WhatsApp (2025-2026) e particularmente alarmante no contexto brasileiro: com 169+ milhões de usuarios de WhatsApp, cada maquina infectada se torna um vetor que alcanca centenas de contatos confiáveis instantaneamente. > [!warning] Setores Alvo > - **[[manufacturing|Manufatura]] (27%)**: O setor industrial e o mais afetado, refletindo uso de Windows em ambientes com proteção insuficiente > - **[[technology|TI e Servicos]] (18%)**: Profissionais de TI como alvos de alto valor pelo acesso privilegiado que amplifica o impacto > - **[[financial|Financeiro]] (12%)**: Bancos e exchanges brasileiras sao alvos diretos do módulo de overlay bancario > - **[[government|Governo]]**: Campanhas imitam a Receita Federal - lure fiscal e o vetor mais comum ## Detecção e Defesa **Event IDs prioritarios:** - **Windows Event ID 4688 (Process Creation):** Monitorar `mshta.exe`, `finger.exe`, `regsvr32.exe` sendo invocados por processos de usuario (Word, Outlook, Explorer). Especialmente suspeito: `finger.exe` com argumento de URL remota. - **Sysmon Event ID 1:** `regsvr32.exe /s /n /u /i:<URL>` - padrao clássico de execução fileless do Astaroth. - **Sysmon Event ID 22 (DNS Query):** Consultas a `raw.githubusercontent.com`, `bit.ly`, ou dominios DGA por processos do sistema. - **Windows Event ID 5156 (Network Connection):** Conexoes de `mshta.exe` ou `regsvr32.exe` para redes externas. **Regras de detecção:** - Sigma: `proc_creation_win_mshta_suspicious_exec.yml` - detecta mshta invocado com URL ou script inline. - YARA: Strings internas do payload Delphi + chamadas para API de hooking de exportadas. - Comportamental: Processo Python abrindo browser para WhatsApp Web e enviando mensagens automaticamente - anomalia detectavel em EDR. **Mitigacoes:** - Bloquear execução de `mshta.exe` e `regsvr32.exe` por usuarios comuns via AppLocker ou WDAC. - Monitorar e alertar em acesso a `raw.githubusercontent.com` por processos do sistema. - Implementar MFA em portais bancarios corporativos para mitigar o impacto de credenciais roubadas pelo keylogger. - Treinar colaboradores sobre phishing fiscal brasileiro, especialmente no período de IR (marco-junho). ## Referências - [1](https://attack.mitre.org/software/S0373) MITRE ATT&CK S0373 - [2](https://www.acronis.com/en/tru/posts/boto-cor-de-rosa-campaign-reveals-astaroth-whatsapp-based-worm-activity-in-brazil/) Acronis - Boto Cor-de-Rosa Campaign (2026) - [3](https://thehackernews.com/2025/10/astaroth-banking-trojan-abuses-github.html) The Hacker News - Astaroth abusa GitHub para resiliencia (2025) - [4](https://www.sophos.com/en-us/blog/whatsapp-compromise-leads-to-astaroth-deployment) Sophos - Water Makara / STAC3150 Analysis - [5](https://www.mcafee.com/blogs/other-blogs/mcafee-labs/astaroth-banking-trojan-abusing-github-for-resilience/) McAfee - Astaroth GitHub Stego C2 - [6](https://www.sidechannel.blog/en/new-astaroth-techniques-focus-on-anti-detection-measures/) SideChannel - Anti-detection techniques - [7](https://blog.talosintelligence.com/astaroth-analysis/) Talos Intelligence - Astaroth Analysis - [8](https://www.welivesecurity.com/2020/03/05/guildma-devil-drives-electric/) ESET WeLiveSecurity - Guildma Analysis