Especialistas em segurança identificaram uma nova versão do Astaroth, um programa malicioso que rouba informações dos computadores. A praga digital chamou a atenção por usar uma rede de canais do YouTube para receber "comandos" dos criminosos e ser propagada por e-mails com o tema do coronavírus e da Covid-19.
O Astaroth rouba senhas digitadas nos sistemas contaminados. Ele não é uma praga digital nova, mas vem recebendo diversos aprimoramentos dos seus criadores.
A análise mais recente do código foi publicada pelo Talos, uma equipe de especialistas em segurança digital da Cisco, nesta segunda-feira (11).
Os analistas observaram que a praga digital possui uma série de mecanismos para evitar o estudo do seu funcionamento. O código interrompe sua própria execução caso detecte um ambiente virtual ou a presença de ferramentas de monitoramento que poderiam rastrear as operações realizadas pelo programa.
Coronavírus e canais falsos no YouTube
De acordo com a análise do Talos, o Astaroth vem atacando usuários no Brasil há pelo menos nove meses, embora seja possível que a atividade tenha começado até um ano atrás.
O software é propagado por e-mails enviados em massa, que recentemente passaram a utilizar o tema do coronavírus e da Covid-19. O tema de boletos em atraso também é muito comum.
Uma das mensagens, por exemplo, promete um "portfólio" de recomendações para se proteger do coronavírus. A mensagem pode ter erros de português, mas essa não é uma característica obrigatória.
Os e-mails sempre incluem um link para um arquivo – normalmente um arquivo ".ZIP". Dentro do arquivo compactado, os criminosos colocam um arquivo ".lnk", que é um atalho do Windows – ou seja, um arquivo muito pequeno. Esse "atalho" executa um comando que realiza o download do próximo estágio da contaminação.
Depois que o Astaroth se estabelece no sistema, ele "visita" uma série de canais no YouTube. O usuário não verá nenhum sinal de que esse acesso aconteceu, mas as descrições dos canais – que parecem ser apenas um código sem sentido – são interpretadas como comandos para que o ladrão de senhas saiba o que deve fazer em seguida.
A estratégia de usar perfis em redes sociais para abrigar comandos de pragas digitais não é nova. Ela dificulta a ação de especialistas que tentam derrubar a infraestrutura dessas pragas digitais, já que os perfis, por si só, são normalmente inofensivos.
O blog procurou o Google para perguntar qual seria a postura da empresa em relação aos canais identificados pelo Telos. Até a publicação deste texto, o Google ainda não havia se pronunciado e os canais estavam on-line.
Sofisticação técnica
O Astaroth tem diversas características técnicas avançadas. Além de tentar "fugir" da atenção de analistas e de sistemas de detecção automática, o código também foi programado de tal maneira a evitar que usuários suspeitem da presença de um programa nocivo.
Praticamente todas operações do programa são realizadas a partir de programas legítimos do Windows – mas nenhum arquivo do Windows é modificado. Os criadores do ladrão de senhas utilizam técnicas para injetar o código diretamente na memória de outros programas, ou então se aproveitam de utilitários que foram projetados para executar comandos especificados por outros programas.
Para o Talos da Cisco, o Astaroth é um "exemplo do nível de sofisticação técnica que está sendo alcançada por crimeware". O termo "crimeware", usado pelos especialistas, se refere aos programas maliciosos usados por criminosos – como é o caso do Astaroth – e que normalmente não possuem a mesma sofisticação dos softwares de espionagem patrocinados por governos.
Cada versão do Astaroth é identificada por um número e um nome, que normalmente faz alusão a um demônio. De acordo com os analistas, esta versão é identificada pelo número "157" e pelo codinome "Gomory", associado a um demônio chamado "Gremory". Essas informações estão dentro do próprio código da praga digital.
O nome "Astaroth", que é usado para identificar todas as versões dessa praga, também se refere um demônio.