Redazione RHC : 14 octubre 2025 16:02
Los investigadores de McAfee han informado sobre una nueva actividad del troyano bancario Astaroth , que ha comenzado a utilizar GitHub como canal persistente para distribuir datos de configuración.
Este enfoque permite a los atacantes mantener el control sobre los dispositivos infectados incluso después de que se desactiven los servidores de comando y control principales, lo que aumenta significativamente la capacidad de supervivencia del malware y lo hace más difícil de neutralizar.
El ataque comienza con un correo electrónico de phishing camuflado en una notificación de servicios populares como DocuSign o que supuestamente contiene el currículum de un candidato . El cuerpo del correo electrónico contiene un enlace para descargar un archivo ZIP.
Contiene un archivo de acceso directo (.lnk) que ejecuta JavaScript oculto mediante mshta.exe. Este script descarga un nuevo conjunto de archivos desde un servidor remoto, cuyo acceso está restringido geográficamente: el malware se descarga solo en dispositivos de las regiones objetivo.
El kit descargado incluye un script de AutoIT , un intérprete de AutoIT, el cuerpo cifrado del troyano y un archivo de configuración independiente. El script implementa el shellcode en memoria e inyecta un archivo DLL en el proceso RegSvc.exe, utilizando técnicas de omisión de análisis y la sustitución estándar de la API kernel32.dll.
El módulo descargado, escrito en Delphi, verifica cuidadosamente el entorno: si se detecta un entorno aislado, un depurador o un sistema con una configuración regional en inglés, la ejecución finaliza inmediatamente.
Astaroth monitorea constantemente las ventanas abiertas. Si el usuario visita el sitio web de un banco o de un servicio de criptomonedas, el troyano activa un keylogger que intercepta todas las pulsaciones de teclas. Se dirige a nombres de clase de Windows, como Chrome, Mozilla, IEframe y otros. Los recursos atacados incluyen los sitios web de los principales bancos brasileños y plataformas de criptomonedas, como Binance, Metamask, Etherscan y LocalBitcoins . Todos los datos robados se transmiten al servidor de los atacantes mediante un protocolo propietario o a través del servicio de proxy inverso Ngrok.
Una característica única de esta campaña es que Astaroth utiliza GitHub para actualizar su configuración. Cada dos horas, el troyano descarga una imagen PNG de un repositorio abierto que contiene una configuración cifrada esteganográficamente . Los repositorios descubiertos contenían imágenes con un formato de nombre predefinido y fueron eliminados rápidamente a petición de los investigadores. Sin embargo, este enfoque demuestra cómo las plataformas legítimas pueden utilizarse como canal de comunicación de respaldo para el malware.
Para infiltrarse en el sistema, el troyano coloca un acceso directo en la carpeta de inicio, lo que garantiza su ejecución automática cada vez que se inicia el equipo. A pesar de la complejidad técnica del ataque, el vector principal sigue siendo la ingeniería social y la confianza del usuario en los correos electrónicos.
Durante la investigación, los especialistas descubrieron que la mayoría de las infecciones se concentran en Sudamérica , principalmente en Brasil , pero también en Argentina, Colombia, Chile, Perú, Venezuela y otros países de la región. También es posible que se presenten casos en Portugal e Italia .
McAfee enfatiza que estos patrones resaltan la necesidad de una mayor vigilancia al trabajar con plataformas abiertas como GitHub, ya que los atacantes las utilizan cada vez más para eludir los mecanismos de bloqueo tradicionales. La compañía ya ha reportado repositorios maliciosos, que fueron eliminados rápidamente, interrumpiendo temporalmente la cadena de actualizaciones de Astaroth.
RedazioneLa primera computadora cuántica atómica de China ha alcanzado un importante hito comercial al registrar sus primeras ventas a clientes nacionales e internacionales, según medios estatales. El Hubei...
El director ejecutivo de NVIDIA, Jen-Hsun Huang, supervisa directamente a 36 empleados en siete áreas clave: estrategia, hardware, software, inteligencia artificial, relaciones públicas, redes y asi...
OpenAI ha presentado Aardvark, un asistente autónomo basado en el modelo GPT-5 , diseñado para encontrar y corregir automáticamente vulnerabilidades en el código de software. Esta herramienta de I...
Hoy en día, muchos se preguntan qué impacto tendrá la expansión de la Inteligencia Artificial en nuestra sociedad. Entre las mayores preocupaciones se encuentra la pérdida de millones de empleos ...
Análisis de RHC de la red “BHS Links” y la infraestructura global automatizada de SEO Black Hat. Un análisis interno de Red Hot Cyber sobre su dominio ha descubierto una red global de SEO Black ...
