Redazione RHC : 14 octubre 2025 16:02
Los investigadores de McAfee han informado sobre una nueva actividad del troyano bancario Astaroth , que ha comenzado a utilizar GitHub como canal persistente para distribuir datos de configuración.
Este enfoque permite a los atacantes mantener el control sobre los dispositivos infectados incluso después de que se desactiven los servidores de comando y control principales, lo que aumenta significativamente la capacidad de supervivencia del malware y lo hace más difícil de neutralizar.
El ataque comienza con un correo electrónico de phishing camuflado en una notificación de servicios populares como DocuSign o que supuestamente contiene el currículum de un candidato . El cuerpo del correo electrónico contiene un enlace para descargar un archivo ZIP.
Contiene un archivo de acceso directo (.lnk) que ejecuta JavaScript oculto mediante mshta.exe. Este script descarga un nuevo conjunto de archivos desde un servidor remoto, cuyo acceso está restringido geográficamente: el malware se descarga solo en dispositivos de las regiones objetivo.
El kit descargado incluye un script de AutoIT , un intérprete de AutoIT, el cuerpo cifrado del troyano y un archivo de configuración independiente. El script implementa el shellcode en memoria e inyecta un archivo DLL en el proceso RegSvc.exe, utilizando técnicas de omisión de análisis y la sustitución estándar de la API kernel32.dll.
El módulo descargado, escrito en Delphi, verifica cuidadosamente el entorno: si se detecta un entorno aislado, un depurador o un sistema con una configuración regional en inglés, la ejecución finaliza inmediatamente.
Astaroth monitorea constantemente las ventanas abiertas. Si el usuario visita el sitio web de un banco o de un servicio de criptomonedas, el troyano activa un keylogger que intercepta todas las pulsaciones de teclas. Se dirige a nombres de clase de Windows, como Chrome, Mozilla, IEframe y otros. Los recursos atacados incluyen los sitios web de los principales bancos brasileños y plataformas de criptomonedas, como Binance, Metamask, Etherscan y LocalBitcoins . Todos los datos robados se transmiten al servidor de los atacantes mediante un protocolo propietario o a través del servicio de proxy inverso Ngrok.
Una característica única de esta campaña es que Astaroth utiliza GitHub para actualizar su configuración. Cada dos horas, el troyano descarga una imagen PNG de un repositorio abierto que contiene una configuración cifrada esteganográficamente . Los repositorios descubiertos contenían imágenes con un formato de nombre predefinido y fueron eliminados rápidamente a petición de los investigadores. Sin embargo, este enfoque demuestra cómo las plataformas legítimas pueden utilizarse como canal de comunicación de respaldo para el malware.
Para infiltrarse en el sistema, el troyano coloca un acceso directo en la carpeta de inicio, lo que garantiza su ejecución automática cada vez que se inicia el equipo. A pesar de la complejidad técnica del ataque, el vector principal sigue siendo la ingeniería social y la confianza del usuario en los correos electrónicos.
Durante la investigación, los especialistas descubrieron que la mayoría de las infecciones se concentran en Sudamérica , principalmente en Brasil , pero también en Argentina, Colombia, Chile, Perú, Venezuela y otros países de la región. También es posible que se presenten casos en Portugal e Italia .
McAfee enfatiza que estos patrones resaltan la necesidad de una mayor vigilancia al trabajar con plataformas abiertas como GitHub, ya que los atacantes las utilizan cada vez más para eludir los mecanismos de bloqueo tradicionales. La compañía ya ha reportado repositorios maliciosos, que fueron eliminados rápidamente, interrumpiendo temporalmente la cadena de actualizaciones de Astaroth.
RedazioneLa empresa israelí NSO Group apeló un fallo de un tribunal federal de California que le prohíbe utilizar la infraestructura de WhatsApp para distribuir su software de vigilancia Pegasus. El caso, q...
Se ha identificado una vulnerabilidad de omisión de autenticación en Azure Bastion (descubierta por RHC gracias a la monitorización constante de CVE críticos en nuestro portal), el servicio gestio...
El panorama del ransomware está cambiando. Los actores más expuestos —LockBit, Hunters International y Trigona— han pagado el precio de la sobreexposición, incluyendo operaciones internacionale...
Hace exactamente 40 años, el 20 de noviembre de 1985, Microsoft lanzó Windows 1.0 , la primera versión de Windows, que intentó transformar el entonces ordenador personal, una máquina con una lín...
18 de noviembre de 2025 – Tras horas de interrupciones generalizadas , el incidente que afectó a la red global de Cloudflare parece estar cerca de resolverse. La compañía anunció que impleme...
