Campagne « Astaroth Infostealer »
16 juin 2025
Par Samantha Clarke
Ce que vous apprendrez dans cette notification
- Cheval de Troie de vol d'informations qui cible principalement le Brésil et le Mexique à des fins financières.
- Utilise des techniques d'ingénierie sociale adaptées à chaque pays.
- Exploite des domaines récemment enregistrés et peu fiables qui se font passer pour des services légitimes.
Samantha Clarke et les chercheurs en cybersécurité de Mimecast ont récemment identifié une campagne de vol d'informations de type Astaroth (référencée en interne sous le nom de MCTO1022). Astaroth est un cheval de Troie sophistiqué destiné au vol d'informations qui mène des opérations actives dans le paysage des menaces depuis 2017, ses activités de développement remontant quant à elles à 2015. Ce malware cible spécifiquement les pays d'Amérique latine, en concentrant ses efforts sur le Brésil et le Mexique, où il enregistre les taux d'infection les plus élevés.
Astaroth utilise un processus d'infection sophistiqué en plusieurs étapes qui commence par un e-mail de Phishing contenant une URL dissimulée hébergée sur secureserver.net. Lorsque vous cliquez sur le lien, une archive ZIP est téléchargée ; celle-ci contient un fichier de raccourci malveillant (.lnk) qui utilise les exécutables cmd.exe et mshta.exe pour exécuter du code JavaScript obfusqué, lequel se connecte ensuite à un serveur de commande et de contrôle (C2) afin d'exfiltrer des données sensibles du système. Ce malware se distingue notamment par ses techniques d'attaque sans fichier, sa capacité à détourner des outils légitimes du système d'exploitation et ses méthodes de contournement sophistiquées qui lui permettent d'échapper aux systèmes de détection de sécurité traditionnels.
Cette menace témoigne d'une planification opérationnelle sophistiquée grâce à son architecture modulaire, qui offre des capacités complètes d'exfiltration de données, notamment les identifiants bancaires, les cookies de session et les informations de connexion enregistrées sur les sites. Plusieurs éditeurs de solutions de sécurité ont documenté l'évolution technique d'Astaroth, notamment Cybereason, qui a analysé des campagnes ciblant le Brésil et le Mexique par le biais d'une infrastructure de serveurs sécurisés. Les campagnes d'Astaroth se déroulent avec une régularité remarquable : elles respectent des calendriers d'activité quotidiens qui excluent les week-ends et atteignent une ampleur considérable grâce à des volumes d'envoi par e-mail allant de 10 000 à 100 000 messages par jour. Les recherches de Microsoft en matière de sécurité ont permis de documenter les premières versions de ces techniques d'attaque invisibles, en soulignant le rythme opérationnel soutenu de la campagne et l'évolution de son infrastructure.
Le succès opérationnel d’Astaroth tient à la mise en œuvre du géorepérage, qui garantit que la diffusion de la charge utile n’a lieu que dans les zones cibles prévues, ce qui permet d’optimiser les taux d’infection tout en minimisant l’exposition aux chercheurs en sécurité opérant en dehors de ces zones géographiques. Cette approche de ciblage témoigne d'une compréhension approfondie des enjeux de sécurité régionaux et des comportements des utilisateurs.
Thèmes de campagne
Les auteurs de ces menaces recourent à des techniques d'ingénierie sociale spécifiques à chaque région, adaptées aux pratiques culturelles et commerciales locales. Les campagnes mexicaines s'appuient souvent sur des thèmes liés aux transactions financières, en intégrant du contenu relatif aux factures et des notifications transactionnelles qui trouvent un écho auprès des utilisateurs professionnels. Les campagnes brésiliennes s'appuient sur des thèmes liés à des demandes judiciaires et à l'usurpation d'identité d'avis administratifs, en tirant parti des procédures administratives locales et des canaux de communication officiels.
Voici quelques exemples de leurres récupérés lors de cette campagne :
Infrastructure technique
Ces campagnes utilisent des domaines d'envoi nouvellement enregistrés, dont la réputation est délibérément faible, afin de se faire passer pour des services professionnels légitimes.
Cette menace utilise systématiquement des URL de serveurs sécurisés, tant pour la transmission initiale de la charge utile que pour les communications de commande et de contrôle continues. L'hébergement d'infrastructures s'appuie souvent sur des noms de domaine enregistrés chez GoDaddy, ce qui permet d'offrir des services d'hébergement fiables et d'apparence légitime.
Protection Mimecast
Nous avons identifié plusieurs caractéristiques dans les campagnes récentes qui ont été intégrées à nos capacités de détection. Nous continuons à surveiller l'évolution des techniques utilisées par ce groupe malveillant.
Objectifs:
Des organisations mexicaines et brésiliennes actives dans les secteurs de la vente au détail, de la vente en gros et de l'industrie manufacturière.
Indicateurs de compromission (IOC)
Domaines d'envoi
brpassarobemtevi[.]sbs
brpassarobicodelacre[.]sbs
brpassarocacatua[.]sbs
brpassarocalcario[.]sbs
brpassarocigana[.]sbs
brpassarocurio[.]sbs
brpassarodaeuropa[.]sbs
brpassarodobrasil[.]sbs
brpassarogalinhadagua[.]sbs
brpassaroguariba[.]sbs
brpassarojoaobobo[.]sbs
brpassarosabiadocampo[.]sbs
brpassarosaracua[.]sbs
brpassarosofre[.]sbs
brpassaroticotico[.]sbs
Objets d'e-mails
Avis important concernant une réclamation d'un client
Consultez les détails de la nouvelle réclamation enregistrée
Réclamation reçue : consultez immédiatement les détails
Détails de la réclamation : consultez-les et traitez-la le plus rapidement possible
URL du serveur sécurisé
198.55.167.72.host.secureserver[.]net
Hachage de fichier
Fichier ZIP : 8f2b0918ccd5d95a42dd1fee72f501d7a898815be6929fc68599e16288a90d4f
Fichier LNK : 1cc7118960b93a91454bbc4498d379e382feeacbdc4a67df7189213c834061ca
Infrastructure de commandement et de contrôle
plokinnal[.]ameyttistta[.]help
Recommandations
- Contrôles réseau
- Veillez à mettre en place un système de surveillance permettant de détecter les schémas d'accès anormaux aux domaines GoDaddy nouvellement enregistrés.
- Sécurité des e-mails
- Déployez des règles de détection pour les pièces jointes au format LNK
- Formation de sensibilisation à la sécurité des utilisateurs
- Sensibilisez les utilisateurs aux dernières techniques d'hameçonnage utilisées dans ces campagnes
- Organisez régulièrement des simulations de Phishing afin d'intégrer les dernières menaces
- Apprenez aux utilisateurs à ne jamais ouvrir les pièces jointes provenant d'expéditeurs inconnus ou non vérifiés
- Recherche proactive des menaces
- Effectuez une recherche dans les journaux des e-mails reçus à l'aide de filtres spécifiques basés sur les objets des e-mails
- Rechercher dans les journaux de réception des e-mails d'& s à l'aide de filtres spécifiques pour les e-mails provenant des domaines d'expédition identifiés