Astaroth-Infostealer-Kampagne
16. Juni 2025
Von Samantha Clarke
Was Sie in dieser Benachrichtigung erfahren
- Ein Trojaner zum Diebstahl von Daten, der vorwiegend in Brasilien und Mexiko mit finanziellen Motiven zum Einsatz kommt.
- Wendet länderspezifische Social-Engineering-Taktiken an.
- Nutzt neu registrierte Domains mit geringer Reputation, die sich als seriöse Dienste ausgeben.
Samantha Clarke und die Sicherheitsforscher von Mimecast haben kürzlich eine „Astaroth“-Kampagne zur Datenerhebeung identifiziert (intern als MCTO1022 erfasst). Astaroth ist ein ausgereifter Trojaner zum Diebstahl von Daten, der seit 2017 in der Bedrohungslandschaft aktiv ist, wobei seine Entwicklungsaktivitäten bis ins Jahr 2015 zurückverfolgt werden können. Die Malware zielt gezielt auf lateinamerikanische Länder ab und konzentriert sich dabei vor allem auf Brasilien und Mexiko, wo sie die höchsten Infektionsraten verzeichnet.
Astaroth nutzt einen ausgeklügelten, mehrstufigen Infektionsprozess, der mit einer Phishing-E-Mail beginnt, die eine verschleierte URL enthält, die auf secureserver.net gehostet wird. Beim Anklicken des Links wird ein ZIP-Archiv heruntergeladen, das eine schädliche Verknüpfungsdatei (.lnk) enthält, die mithilfe von cmd.exe und mshta.exe verschleiertes JavaScript ausführt, welches anschließend eine Verbindung zu einem Command-and-Control-Server (C2) herstellt, um sensible Systemdaten zu exfiltrieren. Die Malware zeichnet sich insbesondere durch ihre dateilosen Angriffstechniken, ihre Fähigkeit, legitime Betriebssystem-Tools zu missbrauchen, sowie durch ausgefeilte Umgehungsmethoden aus, mit denen sie herkömmliche Sicherheitsmaßnahmen umgehen kann.
Die Bedrohung zeugt durch ihre modulare Architektur von einer ausgeklügelten operativen Planung, die umfassende Möglichkeiten zur Datenexfiltration ermöglicht, darunter Bankzugangsdaten, Sitzungs-Cookies und gespeicherte Anmeldedaten für Websites. Mehrere Sicherheitsanbieter haben die technische Entwicklung von Astaroth dokumentiert, darunter auch Cybereason mit seiner Analyse von Kampagnen, die über eine sichere Serverinfrastruktur auf Brasilien und Mexiko abzielten. Die Kampagnen von Astaroth zeichnen sich durch eine bemerkenswerte Kontinuität aus: Sie halten sich an tägliche Aktivitätspläne, die Wochenenden ausschließen, und erreichen eine beträchtliche Reichweite durch E-Mail-Versandvolumina zwischen 10.000 und 100.000 Nachrichten pro Tag. Die Sicherheitsforschung von Microsoft dokumentierte frühe Varianten dieser unsichtbaren Angriffstechniken und wies dabei auf das anhaltend hohe Tempo der Kampagne sowie die Weiterentwicklung der Infrastruktur hin.
Der operative Erfolg von Astaroth beruht auf der Implementierung von Geofencing, wodurch sichergestellt wird, dass die Auslieferung der Nutzlast ausschließlich innerhalb der vorgesehenen Zielregionen erfolgt. Dadurch werden die Infektionsraten maximiert und gleichzeitig das Risiko minimiert, von Sicherheitsforschern entdeckt zu werden, die außerhalb dieser Regionen tätig sind. Dieser Targeting-Ansatz zeugt von einem fundierten Verständnis der regionalen Sicherheitslage und der Verhaltensmuster der Nutzer.
Themen der Kampagne
Die Angreifer wenden regionsspezifische Social-Engineering-Taktiken an, die auf die lokalen kulturellen und geschäftlichen Gepflogenheiten abgestimmt sind. In mexikanischen Werbekampagnen werden häufig Themen rund um Finanztransaktionen aufgegriffen, wobei rechnungsbezogene Inhalte und Benachrichtigungen zu Transaktionen einbezogen werden, die bei geschäftlichen Nutzern Anklang finden. Brasilianische Kampagnen greifen Themen im Zusammenhang mit gerichtlichen Anordnungen und der Vortäuschung von behördlichen Mitteilungen auf und nutzen dabei lokale Verwaltungsverfahren sowie offizielle Kommunikationskanäle aus.
Einige Beispiele für Köder, die im Rahmen der Kampagne sichergestellt wurden:
Technische Infrastruktur
Bei diesen Kampagnen werden neu registrierte Absenderdomains mit bewusst schlechtem Reputationsprofil genutzt, um sich als seriöse Unternehmensdienste auszugeben.
Die Bedrohung nutzt durchgehend sichere Server-URLs sowohl für die anfängliche Übertragung der Payload als auch für die fortlaufende Command-and-Control-Kommunikation. Das Infrastruktur-Hosting stützt sich häufig auf bei GoDaddy registrierte Domains und bietet zuverlässige Hosting-Dienste mit seriösem Erscheinungsbild.
Mimecast-Schutz
Wir haben bei den jüngsten Kampagnen mehrere Merkmale identifiziert, die in unsere Erkennungsfunktionen aufgenommen wurden. Wir beobachten weiterhin, ob sich die von dieser Bedrohungsgruppe eingesetzten Techniken ändern.
Ziele:
Mexikanische und brasilianische Unternehmen aus den Branchen Einzelhandel, Großhandel und verarbeitendes Gewerbe.
Indikatoren für eine Kompromittierung (IOCs)
Absender-Domains
brpassarobemtevi[.]sbs
brpassarobicodelacre[.]sbs
brpassarocacatua[.]sbs
brpassarocalcario[.]sbs
brpassarocigana[.]sbs
brpassarocurio[.]sbs
brpassarodaeuropa[.]sbs
brpassarodobrasil[.]sbs
brpassarogalinhadagua[.]sbs
brpassaroguariba[.]sbs
brpassarojoaobobo[.]sbs
brpassarosabiadocampo[.]sbs
brpassarosaracua[.]sbs
brpassarosofre[.]sbs
brpassaroticotico[.]sbs
E-Mail-Betreffzeilen
Wichtiger Hinweis zu einer Kundenbeschwerde
Sehen Sie sich die Details der neu registrierten Beschwerde an
Eingegangene Beschwerde: Rufen Sie die Details umgehend ab
Details zur Beschwerde: Sehen Sie sich diese an und klären Sie die Angelegenheit so schnell wie möglich
URL des sicheren Servers
198.55.167.72.host.secureserver[.]net
Datei-Hash
ZIP-Datei: 8f2b0918ccd5d95a42dd1fee72f501d7a898815be6929fc68599e16288a90d4f
LNK-Datei: 1cc7118960b93a91454bbc4498d379e382feeacbdc4a67df7189213c834061ca
Kommando- und Kontrollinfrastruktur
plokinnal[.]ameyttistta[.]help
Empfehlungen
- Netzwerksteuerung
- Stellen Sie sicher, dass eine Überwachung eingerichtet ist, um ungewöhnliche Zugriffsmuster auf neu registrierte GoDaddy-Domains zu erkennen.
- E-Mail-Sicherheit
- Erstellen Sie Erkennungsregeln für LNK-Dateianhänge
- Benutzerschulung zum Sicherheitsbewusstsein
- Informieren Sie die Nutzer über die neuesten Lockvogel-Taktiken, die bei diesen Kampagnen zum Einsatz kommen
- Führen Sie regelmäßig Phishing-Simulationen durch, um die neuesten Bedrohungen einzubeziehen
- Schulen Sie die Nutzer darin, niemals Anhänge von unbekannten oder nicht verifizierten Absendern zu öffnen
- Proaktive Bedrohungssuche
- Durchsuchen Sie die Protokolle der E-Mail-Eingänge anhand bestimmter Filter für die Betreffzeilen
- Durchsuchen Sie die E-Mail-Empfangsprotokolle unter& mithilfe spezifischer Filter nach E-Mails, die von den identifizierten Absenderdomänen stammen