Campagna "Astaroth Infostealer"
16 giugno 2025
Di Samantha Clarke
Cosa imparerai in questa notifica
- Trojan di furto di informazioni che prende di mira prevalentemente il Brasile e il Messico con finalità finanziarie.
- Ricorre a tattiche di ingegneria sociale specifiche per ciascun Paese.
- Sfrutta domini di recente registrazione e con scarsa reputazione che si spacciano per servizi legittimi.
Samantha Clarke e i ricercatori di Mimecast specializzati in minacce hanno recentemente individuato una campagna di furto di dati denominata Astaroth (identificata internamente come MCTO1022). Astaroth rappresenta un trojan sofisticato per il furto di informazioni che opera attivamente nel panorama delle minacce informatiche sin dal 2017, con attività di sviluppo risalenti al 2015. Il malware prende di mira in modo specifico i paesi dell’America Latina, concentrando la propria attività in Brasile e in Messico, dove registra i tassi di infezione più elevati.
Astaroth utilizza un sofisticato processo di infezione in più fasi che ha inizio con un’e-mail di phishing contenente un URL occultato ospitato su secureserver.net. Cliccando sul link, viene scaricato un archivio zip contenente un file di collegamento (.lnk) dannoso che utilizza cmd.exe e mshta.exe per eseguire codice JavaScript offuscato, il quale si connette poi a un server di comando e controllo (C2) per sottrarre dati sensibili dal sistema. Il malware si distingue in particolare per le sue tecniche di attacco senza file, la capacità di sfruttare strumenti legittimi del sistema operativo e i sofisticati metodi di elusione che gli consentono di aggirare i tradizionali sistemi di rilevamento della sicurezza.
La minaccia dimostra una pianificazione operativa sofisticata grazie alla sua architettura modulare, che consente capacità complete di esfiltrazione dei dati, tra cui credenziali bancarie, cookie di sessione e informazioni di accesso ai siti memorizzate. Diversi fornitori di soluzioni di sicurezza hanno documentato l’evoluzione tecnica di Astaroth, tra cui l’analisi condotta da Cybereason sulle campagne dirette contro il Brasile e il Messico tramite un’infrastruttura di server protetta. Le campagne di Astaroth si caratterizzano per una notevole costanza, con programmi di attività giornalieri che escludono i fine settimana e raggiungono una portata significativa grazie a volumi di distribuzione via e-mail che vanno da 10.000 a 100.000 messaggi al giorno. La ricerca sulla sicurezza condotta da Microsoft ha documentato le prime versioni di queste tecniche di attacco invisibili, sottolineando il ritmo operativo costante della campagna e l’evoluzione dell’infrastruttura.
Il successo operativo di Astaroth deriva dall’implementazione del geofencing, che garantisce che la distribuzione del payload avvenga esclusivamente all’interno delle regioni di destinazione previste, massimizzando i tassi di infezione e riducendo al minimo l’esposizione ai ricercatori di sicurezza che operano al di fuori di tali aree geografiche. Questo approccio mirato dimostra una comprensione approfondita dei contesti di sicurezza regionali e dei modelli di comportamento degli utenti.
Temi della campagna
Gli autori delle minacce ricorrono a tattiche di ingegneria sociale specifiche per ciascuna regione, in linea con le pratiche culturali e commerciali locali. Le campagne messicane ricorrono spesso a tematiche legate alle transazioni finanziarie, inserendo contenuti relativi alle fatture e notifiche transazionali che riscuotono particolare interesse tra gli utenti aziendali. Le campagne brasiliane sfruttano temi legati a richieste giudiziarie e all’usurpazione dell’identità di comunicazioni governative, avvalendosi delle procedure amministrative locali e dei canali di comunicazione ufficiali.
Alcuni esempi di esche raccolte durante la campagna:
Infrastruttura tecnica
Le campagne utilizzano domini mittenti appena registrati, con profili di reputazione volutamente bassi, che si spacciano per servizi aziendali legittimi.
La minaccia utilizza sistematicamente URL di server sicuri sia per la distribuzione iniziale del payload sia per le comunicazioni di comando e controllo successive. L'hosting di infrastrutture si avvale spesso di domini registrati su GoDaddy, garantendo servizi di hosting affidabili e dall'aspetto legittimo.
Protezione Mimecast
Abbiamo individuato diversi elementi nelle recenti campagne che sono stati integrati nelle nostre capacità di rilevamento. Continuiamo a monitorare eventuali cambiamenti nelle tecniche utilizzate da questa operazione di cyberminaccia.
Obiettivi:
Organizzazioni messicane e brasiliane operanti nei settori della vendita al dettaglio, della vendita all’ingrosso e della produzione.
Indicatori di compromissione (IOC)
Domini di invio
brpassarobemtevi[.]sbs
brpassarobicodelacre[.]sbs
brpassarocacatua[.]sbs
brpassarocalcario[.]sbs
brpassarocigana[.]sbs
brpassarocurio[.]sbs
brpassarodaeuropa[.]sbs
brpassarodobrasil[.]sbs
brpassarogalinhadagua[.]sbs
brpassaroguariba[.]sbs
brpassarojoaobobo[.]sbs
brpassarosabiadocampo[.]sbs
brpassarosaracua[.]sbs
brpassarosofre[.]sbs
brpassaroticotico[.]sbs
Oggetti delle e-mail
Avviso importante relativo a un reclamo da parte di un cliente
Verifichi i dettagli del nuovo reclamo registrato
Reclamo ricevuto: acceda immediatamente ai dettagli
Dettagli del reclamo: li esamini e risolva il prima possibile
URL del server sicuro
198.55.167.72.host.secureserver[.]net
Hash del file
File ZIP: 8f2b0918ccd5d95a42dd1fee72f501d7a898815be6929fc68599e16288a90d4f
File LNK: 1cc7118960b93a91454bbc4498d379e382feeacbdc4a67df7189213c834061ca
Infrastruttura di comando e controllo
plokinnal[.]ameyttistta[.]help
Raccomandazioni
- Controlli di rete
- Si assicuri che sia in atto un sistema di monitoraggio volto a individuare modelli di accesso anomali ai domini GoDaddy appena registrati.
- Sicurezza della posta elettronica
- Implementare regole di rilevamento per gli allegati in formato LNK
- Formazione sulla consapevolezza della sicurezza degli utenti
- Informare gli utenti sulle ultime tecniche di adescamento utilizzate in queste campagne
- Effettuate regolarmente simulazioni di phishing per tenere conto delle minacce più recenti
- Istruite gli utenti a non aprire mai allegati provenienti da mittenti sconosciuti o non verificati
- Caccia proattiva alle minacce
- Effettuare ricerche nei registri delle ricevute e-mail utilizzando filtri specifici per l'oggetto
- Effettuare ricerche nei registri delle ricevute e-mail di& utilizzando filtri specifici per le e-mail provenienti dai domini di invio identificati