Redazione RHC : 14 octubre 2025 16:02
Los investigadores de McAfee han informado sobre una nueva actividad del troyano bancario Astaroth , que ha comenzado a utilizar GitHub como canal persistente para distribuir datos de configuración.
Este enfoque permite a los atacantes mantener el control sobre los dispositivos infectados incluso después de que se desactiven los servidores de comando y control principales, lo que aumenta significativamente la capacidad de supervivencia del malware y lo hace más difícil de neutralizar.
El ataque comienza con un correo electrónico de phishing camuflado en una notificación de servicios populares como DocuSign o que supuestamente contiene el currículum de un candidato . El cuerpo del correo electrónico contiene un enlace para descargar un archivo ZIP.
Contiene un archivo de acceso directo (.lnk) que ejecuta JavaScript oculto mediante mshta.exe. Este script descarga un nuevo conjunto de archivos desde un servidor remoto, cuyo acceso está restringido geográficamente: el malware se descarga solo en dispositivos de las regiones objetivo.
El kit descargado incluye un script de AutoIT , un intérprete de AutoIT, el cuerpo cifrado del troyano y un archivo de configuración independiente. El script implementa el shellcode en memoria e inyecta un archivo DLL en el proceso RegSvc.exe, utilizando técnicas de omisión de análisis y la sustitución estándar de la API kernel32.dll.
El módulo descargado, escrito en Delphi, verifica cuidadosamente el entorno: si se detecta un entorno aislado, un depurador o un sistema con una configuración regional en inglés, la ejecución finaliza inmediatamente.
Astaroth monitorea constantemente las ventanas abiertas. Si el usuario visita el sitio web de un banco o de un servicio de criptomonedas, el troyano activa un keylogger que intercepta todas las pulsaciones de teclas. Se dirige a nombres de clase de Windows, como Chrome, Mozilla, IEframe y otros. Los recursos atacados incluyen los sitios web de los principales bancos brasileños y plataformas de criptomonedas, como Binance, Metamask, Etherscan y LocalBitcoins . Todos los datos robados se transmiten al servidor de los atacantes mediante un protocolo propietario o a través del servicio de proxy inverso Ngrok.
Una característica única de esta campaña es que Astaroth utiliza GitHub para actualizar su configuración. Cada dos horas, el troyano descarga una imagen PNG de un repositorio abierto que contiene una configuración cifrada esteganográficamente . Los repositorios descubiertos contenían imágenes con un formato de nombre predefinido y fueron eliminados rápidamente a petición de los investigadores. Sin embargo, este enfoque demuestra cómo las plataformas legítimas pueden utilizarse como canal de comunicación de respaldo para el malware.
Para infiltrarse en el sistema, el troyano coloca un acceso directo en la carpeta de inicio, lo que garantiza su ejecución automática cada vez que se inicia el equipo. A pesar de la complejidad técnica del ataque, el vector principal sigue siendo la ingeniería social y la confianza del usuario en los correos electrónicos.
Durante la investigación, los especialistas descubrieron que la mayoría de las infecciones se concentran en Sudamérica , principalmente en Brasil , pero también en Argentina, Colombia, Chile, Perú, Venezuela y otros países de la región. También es posible que se presenten casos en Portugal e Italia .
McAfee enfatiza que estos patrones resaltan la necesidad de una mayor vigilancia al trabajar con plataformas abiertas como GitHub, ya que los atacantes las utilizan cada vez más para eludir los mecanismos de bloqueo tradicionales. La compañía ya ha reportado repositorios maliciosos, que fueron eliminados rápidamente, interrumpiendo temporalmente la cadena de actualizaciones de Astaroth.
RedazioneIvanti ha publicado 13 vulnerabilidades en su software Endpoint Manager (EPM) , incluidas dos fallas de alta gravedad que podrían permitir la ejecución remota de código y la escalada de privilegios...
Los analistas de Sophos descubrieron una compleja operación de malware realizada por expertos en seguridad que utiliza el popular servicio de mensajería WhatsApp para propagar troyanos bancarios, ap...
Se ha identificado una vulnerabilidad crítica en la arquitectura de seguridad de hardware AMD SEV-SNP, que afecta a los principales proveedores de servicios en la nube (AWS, Microsoft Azure y Google ...
La empresa israelí NSO Group, desarrolladora del infame software espía Pegasus , quedó recientemente bajo el control de inversores estadounidenses. Un portavoz de la compañía anunció que la nuev...
Más de 1,2 millones de kilómetros de cables de fibra óptica se extienden por el fondo oceánico, considerados durante mucho tiempo solo como parte de una red global de telecomunicaciones. Sin embar...
