El troyano Astaroth infecta más de 8.000 máquinas en una semana
- Endpoint
Astaroth utilizó correos electrónicos de facturas falsas con archivos adjuntos .lnk que parecían provenir de servicios legítimos, bajo dominios cam. br. El troyano se dirigió específicamente a bancos y empresas sudamericanas, en su mayoría brasileños.
También puedes leer... |
Una nueva oleada del malware troyano Astaroth ha resurgido en Sudamérica, con más de 8.000 máquinas atacadas en solo una semana. Según el Centro de Defensa contra Phishing de Cofense, el troyano utilizó correos electrónicos de facturas falsas con archivos adjuntos .lnk que parecían provenir de servicios legítimos bajo dominios cam.br.
Astaroth se dirigió específicamente a empresas sudamericanas, abortándose todos los ataques que detectaron una dirección IP fuera de esta área geográfica. Si los objetivos sudamericanos hacían clic en el enlace proporcionado, el troyano aprovechaba la Consola de Instrumentación de Administración de Windows (WMIC) y su interfaz de línea de comandos conectada para descargar cargas útiles no locales con extensiones .xsl.
Debido a que WMIC se ejecutó en modo no interactivo, los usuarios normalmente desconocían el ataque. El malware impidió que los usuarios abrieran cualquier navegador web, excepto Internet Explorer, y cuando los usuarios accedían a webs de bancos o empresas, comenzaban a registrar las pulsaciones de teclado para recopilar datos y comprometer la cuenta.
A pesar de su alcance geográfico limitado, el troyano representa preocupaciones reales para las organizaciones. Para evadir la detección, el malware utiliza un dominio seleccionado al azar de una lista de 154 opciones de código. Todos los dominios se alojaron en Cloudflare, lo que dificulta su identificación inmediata como maliciosos. Esto también dificultó a las empresas el bloqueo efectivo de las cargas útiles de Astaroth, debido a la gran cantidad de dominios legítimos asociados con Cloudflare.