Nel mondo della cybersecurity, gli attaccanti sono sempre in evoluzione, trovando nuovi modi per nascondersi in bella vista, e uno degli ultimi esempi mostra quanto siano diventati creativi. Il caso del trojan bancario Astaroth dimostra come gli hacker stiano ora utilizzando piattaforme legittime come GitHub per rimanere invisibili agli esperti di sicurezza mentre continuano a rubare informazioni sensibili
Tutto inizia con una semplice email di phishing che sembra completamente normale, spesso mascherata da un messaggio ufficiale che ti chiede di scaricare un documento importante. Il file allegato, di solito con un'estensione .lnk che appare innocua, è in realtà una trappola. Una volta aperto, installa silenziosamente malware sul tuo dispositivo e inizia il suo lavoro in background. Ciò che segue è un'operazione furtiva in cui il trojan registra silenziosamente i tuoi tasti, catturando accessi, password e altri dati personali collegati ai tuoi conti bancari e portafogli crypto. Tutte queste informazioni rubate vengono quindi inviate agli attaccanti che controllano la rete del malware
Ma la parte veramente affascinante è come Astaroth riesca a rimanere non rilevato per così tanto tempo. La maggior parte dei trojan si basa su un server di comando centrale che coordina tutte le macchine infette. Una volta che le autorità scoprono e abbattano quel server, l'intera operazione crolla. Astaroth, tuttavia, non gioca secondo queste regole. Invece, utilizza GitHub — la stessa piattaforma che gli sviluppatori usano per ospitare e condividere codice open-source — come parte del suo sistema di comunicazione. Il malware non memorizza file pericolosi lì, ma nasconde un piccolo file di configurazione in un repository di GitHub. Quel file contiene nuove istruzioni, come dove connettersi successivamente se il server principale va offline. In sostanza, GitHub funziona come una bacheca per il trojan, dicendogli dove trovare il prossimo centro di comando senza mai suscitare sospetti.
Secondo gli esperti di cybersecurity di McAfee, questo trucco rende Astaroth notevolmente resiliente. Anche se una parte della sua infrastruttura viene distrutta, può rapidamente recuperare e continuare le sue operazioni utilizzando canali legittimi che nessuno si aspetta facciano parte di un attacco informatico. Per rendere le cose ancora più sofisticate, il trojan è programmato per evitare di attirare l'attenzione degli analisti in determinati paesi. Se rileva che sta funzionando su un sistema basato negli Stati Uniti o in un'altra regione di lingua inglese, si elimina immediatamente, lasciando dietro di sé nessuna traccia. Il suo obiettivo principale sono stati gli utenti in Sud America, in particolare in Brasile, Argentina e Cile, dove ha causato danni significativi.
Quindi, cosa possono fare gli utenti normali di fronte a tali tattiche ingegnose? Le risposte possono sembrare familiari, ma sono più importanti che mai. Non aprire mai allegati o cliccare su link da mittenti sconosciuti, indipendentemente da quanto possano apparire legittimi. Mantieni il tuo software antivirus aggiornato e assicurati che stia monitorando attivamente il tuo sistema. Soprattutto, utilizza l'autenticazione a due fattori su tutti i tuoi account critici, specialmente per il banking online e gli scambi di criptovalute. Anche se la tua password viene rubata, l'attaccante avrà bisogno di un codice aggiuntivo per accedere ai tuoi fondi.
Il caso Astaroth è un potente promemoria che anche piattaforme fidate e ampiamente utilizzate come GitHub possono essere abusate per scopi malevoli. Sfida l'idea stessa di sicurezza online, mostrando che nel panorama digitale odierno, la linea tra buoni e cattivi strumenti dipende interamente da come vengono utilizzati. Forse non c'è più un luogo veramente sicuro su internet, solo abitudini più sicure e una vigilanza più intelligente che ci aiutano a rimanere un passo avanti.