Investigadores de Bitdefender anunciaron que, durante el último monitoreo de detección de rutina de la tecnología Advanced Threat Defense, encontraron un aumento significativo en la actividad maliciosa que involucraba el uso de binarios de Microsoft en el proceso de infección, así como GitHub y Google Drive para entregar la carga útil. Después de un análisis de los detalles de detección, identificaron esta actividad como un resurgimiento del software espía Astaroth, un troyano y un ladrón de información conocido desde finales de 2017.
De acuerdo a los expertos, lo que distingue a esta campaña de Astaroth es el uso de herramientas nativas de Microsoft, técnica comúnmente conocida como «vivir fuera de la tierra». Con esto pueden evitar la detección por parte de las soluciones de seguridad tradicionales. Asimimo, otra característica es lo específico de su objetivo, pues el malware solo se activará si identifica que se encuentra en un dispositivo ubicado en Brasil y que funciona con un teclado en portugués. La telemetría de Bitdefender muestra que el 92,61% de los usuarios seleccionados para esta campaña de Astaroth hasta mayo de este año se encuentran en Brasil.
El modo de actuar de Astaroth es simple, el malware esperará a que la víctima abra Internet Explorer y busque algún banco o empresa específica de Brasil. Una vez realizado esto, el malware registrará todo lo que la víctima escriba, incluyendo sus nombres de usuarios y contraseñas. Los expertos afirman que, para asegurarse de que la víctima use Internet Explorer, el malware incluso terminará los ejecutables de Chrome o Firefox, inhabilitándolos. Asimismo, la investigación realizada reveló que los actores de amenazas parecen usar varias versiones del mismo malware y alojarlos en varios sitios web.
De acuerdo a Julio Seminario, experto de ciberseguridad de Bitdefender, la clave para evitar ataques de este tipo se encuentran en estar alertas a actividades sospechosas. “Aunque este malware está enfocado en Brasil, no sería ninguna sorpresa que luego dirija sus ataques a países de la región como Perú. Por ello, es importante prestar atención a cualquier acción no solicitada que tengan nuestros dispositivos. Asimismo, esto debe complementarse con la instalación de una solución de ciberseguridad de confianza. Solo así se podrá evitar el robo de nuestra información.”, afirmó el experto.