Campaña «Astaroth Infostealer»
16 de junio de 2025
Por Samantha Clarke
Qué aprenderá en esta notificación
- Troya dedicada al robo de información que ataca principalmente a Brasil y México con fines económicos.
- Utiliza tácticas de ingeniería social específicas para cada país.
- Aprovecha dominios recién registrados y de escasa reputación que se hacen pasar por servicios legítimos.
Samantha Clarke y los investigadores de amenazas de Mimecast han identificado recientemente una campaña de robo de información denominada «Astaroth» (registrada internamente como MCTO1022). Astaroth es un troyano maduro dedicado al robo de información que ha mantenido su actividad en el panorama de las amenazas desde 2017, aunque sus actividades de desarrollo se remontan a 2015. Este malware se dirige específicamente a los países de América Latina, centrando sus esfuerzos en Brasil y México, donde alcanza las tasas de infección más elevadas.
Astaroth utiliza un sofisticado proceso de infección en varias fases que comienza con un correo electrónico de phishing que contiene una URL camuflada alojada en secureserver.net. Al hacer clic en el enlace, se descarga un archivo zip que contiene un archivo de acceso directo malicioso (.lnk) que utiliza cmd.exe y mshta.exe para ejecutar código JavaScript ofuscado, el cual, a su vez, se conecta a un servidor de comando y control (C2) para extraer datos confidenciales del sistema. Este malware destaca especialmente por sus técnicas de ataque sin archivos, su capacidad para hacer un uso indebido de herramientas legítimas del sistema operativo y sus sofisticados métodos de evasión, que le permiten eludir los sistemas de detección de seguridad tradicionales.
Esta amenaza pone de manifiesto una planificación operativa sofisticada gracias a su arquitectura modular, que permite una amplia capacidad de exfiltración de datos, entre los que se incluyen credenciales bancarias, cookies de sesión e información de inicio de sesión almacenada en sitios web. Varios proveedores de seguridad han documentado la evolución técnica de Astaroth, entre ellos Cybereason, cuyo análisis se centra en las campañas dirigidas a Brasil y México a través de una infraestructura de servidores seguros. Las campañas de Astaroth se desarrollan con una coherencia notable, manteniendo horarios de actividad diarios que excluyen los fines de semana y alcanzando una envergadura significativa gracias a unos volúmenes de distribución de correo electrónico que oscilan entre 10 000 y 100 000 mensajes al día. El equipo de investigación en seguridad de Microsoft documentó las primeras versiones de estas técnicas de ataque invisibles, destacando el ritmo operativo sostenido de la campaña y la evolución de su infraestructura.
El éxito operativo de Astaroth se debe a la implementación de la tecnología de geovallas, que garantiza que la entrega de la carga útil se produzca únicamente dentro de las regiones objetivo previstas, lo que maximiza las tasas de infección y minimiza la exposición a los investigadores de seguridad que operan fuera de dichas zonas geográficas. Este enfoque de segmentación demuestra un conocimiento profundo de los contextos de seguridad regionales y de los patrones de comportamiento de los usuarios.
Temas de la campaña
Los autores de las amenazas utilizan tácticas de ingeniería social específicas de cada región que se ajustan a las prácticas culturales y empresariales locales. Las campañas mexicanas suelen recurrir a temas relacionados con las transacciones financieras, incorporando contenidos relacionados con las facturas y notificaciones transaccionales que resultan de interés para los usuarios empresariales. Las campañas brasileñas se valen de temas relacionados con solicitudes judiciales y de la suplantación de notificaciones gubernamentales, aprovechando los procesos administrativos locales y los canales de comunicación oficiales.
Algunos ejemplos de señuelos capturados durante la campaña:
Infraestructura técnica
Las campañas utilizan dominios de envío recién registrados con perfiles de reputación deliberadamente bajos que se hacen pasar por servicios empresariales legítimos.
La amenaza utiliza sistemáticamente direcciones URL de servidores seguros tanto para la entrega inicial de la carga útil como para las comunicaciones continuas de mando y control. El alojamiento de infraestructuras suele basarse en dominios registrados en GoDaddy, lo que permite ofrecer servicios de alojamiento fiables con una apariencia legítima.
Protección de Mimecast
Hemos identificado varios atributos en las campañas recientes que se han incorporado a nuestras capacidades de detección. Seguimos vigilando los cambios en las técnicas empleadas por esta operación maliciosa.
Objetivos:
Organizaciones mexicanas y brasileñas de los sectores minorista, mayorista y manufacturero.
Indicadores de compromiso (IOC)
Dominios de envío
brpassarobemtevi[.]sbs
brpassarobicodelacre[.]sbs
brpassarocacatua[.]sbs
brpassarocalcario[.]sbs
brpassarocigana[.]sbs
brpassarocurio[.]sbs
brpassarodaeuropa[.]sbs
brpassarodobrasil[.]sbs
brpassarogalinhadagua[.]sbs
brpassaroguariba[.]sbs
brpassarojoaobobo[.]sbs
brpassarosabiadocampo[.]sbs
brpassarosaracua[.]sbs
brpassarosofre[.]sbs
brpassaroticotico[.]sbs
Asuntos de los correos electrónicos
Notificación importante sobre una reclamación de un cliente
Consulte los detalles de la nueva reclamación registrada
Reclamación recibida: acceda a los detalles de inmediato
Detalles de la reclamación: revíselos y resuélvalos lo antes posible
URL del servidor seguro
198.55.167.72.host.secureserver[.]net
Hash del archivo
Archivo ZIP: 8f2b0918ccd5d95a42dd1fee72f501d7a898815be6929fc68599e16288a90d4f
Archivo LNK: 1cc7118960b93a91454bbc4498d379e382feeacbdc4a67df7189213c834061ca
Infraestructura de mando y control
plokinnal[.]ameyttistta[.]help
Recomendaciones
- Controles de red
- Asegúrese de que se hayan establecido medidas de supervisión para detectar patrones de acceso anómalos en los dominios de GoDaddy recién registrados.
- Seguridad del correo electrónico
- Implemente reglas de detección para los archivos adjuntos LNK
- Formación sobre concienciación de seguridad para usuarios
- Informe a los usuarios sobre los últimos señuelos utilizados en estas campañas
- Realice simulacros de phishing de forma periódica para incluir las amenazas más recientes
- Informe a los usuarios de que nunca deben abrir archivos adjuntos procedentes de remitentes desconocidos o no verificados
- Caza proactiva de amenazas
- Busque en los registros de recibos de correo electrónico utilizando filtros específicos para los asuntos de los mensajes
- Busque en los registros de recepción de correo electrónico de& utilizando filtros específicos para los correos electrónicos procedentes de los dominios de envío identificados