¡Hola! Estaba leyendo algunas noticias de ciberseguridad y me encontré con un esquema ingenioso que vale la pena conocer. Se trata de un troyano bancario llamado Astaroth. Lo más interesante de él no es cómo roba datos, sino cómo se oculta de los expertos en seguridad utilizando servicios legítimos.
¿Cómo empieza?
Es un clásico: recibes un correo electrónico de phishing pidiéndote que descargues un documento "importante". El archivo parece inofensivo (por ejemplo, con una extensión .lnk, como un acceso directo), pero en realidad instala malware en tu computadora.
¿Qué hace el troyano?
Se ejecuta en segundo plano y graba silenciosamente todo lo que escribes (esto se llama keylogging). Su objetivo principal son tu información de inicio de sesión y contraseñas para cuentas bancarias y billeteras de criptomonedas. Luego envía todos estos datos de regreso a los atacantes.
¿Dónde entra GitHub?
¡Esta es la parte realmente inteligente! Estos troyanos suelen ser controlados desde un servidor central. Si las fuerzas del orden o las compañías de antivirus encuentran y "desmantelan" ese servidor, el troyano se vuelve inútil. Pero Astaroth es más inteligente.
Tiene un plan de respaldo: ¡contacta al GitHub regular (una plataforma para que los desarrolladores almacenen código)! Pero no almacena el virus en sí allí; eso se notaría de inmediato. En cambio, mantiene solo un pequeño archivo de configuración en un repositorio de GitHub. Este archivo es como una nueva instrucción: "Equipo, nuestro servidor principal está caído, ahora estamos operando desde aquí." Y el troyano obtiene la dirección de un nuevo servidor en funcionamiento.
Como dijo un experto de McAfee, no es el código malicioso en sí, sino solo una "nota" con una nueva dirección. Esto lo hace muy flexible y resistente.
¿Quién es el objetivo principal?
Parece que el ataque principal es contra usuarios en Sudamérica (Brasil, Argentina, Chile, etc.). Además, el troyano está escrito de tal manera que si "entiende" que se está ejecutando en un sistema en EE. UU. o en otro país de habla inglesa, simplemente se autodestruye para evitar ser estudiado. ¡Un verdadero cibercriminal profesional!
Entonces, ¿qué deberías hacer?
El consejo es estándar, pero no menos importante:
No abras archivos adjuntos ni hagas clic en enlaces de remitentes desconocidos.
Utiliza software antivirus y manténlo siempre actualizado.
Habilita la autenticación de dos factores en todas partes donde puedas, especialmente para bancos e intercambios de criptomonedas.
Así que esa es la historia. Resulta que incluso servicios legítimos y útiles como GitHub pueden ser utilizados para hacer daño. Un giro interesante, ¿verdad?
¿Qué piensas, hay realmente algún lugar verdaderamente seguro en internet si los hackers han aprendido a camuflarse tan hábilmente?