{"id":10071,"date":"2025-10-11T17:38:09","date_gmt":"2025-10-11T17:38:09","guid":{"rendered":"https:\/\/satoshibrother.com\/es\/astaroth-el-troyano-bancario-que-aprovecha-github-para-robar-credenciales-cripto\/"},"modified":"2025-10-11T17:38:09","modified_gmt":"2025-10-11T17:38:09","slug":"astaroth-el-troyano-bancario-que-aprovecha-github-para-robar-credenciales-cripto","status":"publish","type":"post","link":"https:\/\/satoshibrother.com\/es\/astaroth-el-troyano-bancario-que-aprovecha-github-para-robar-credenciales-cripto\/","title":{"rendered":"Astaroth: El Troyano Bancario que Aprovecha GitHub para Robar Credenciales Cripto"},"content":{"rendered":"<h2>Introducci\u00f3n<\/h2>\n<p>Los hackers est\u00e1n desplegando un <strong>troyano bancario<\/strong> que utiliza <strong>repositorios de GitHub<\/strong> cada vez que sus servidores son desactivados, seg\u00fan investigaciones de la firma de ciberseguridad <strong>McAfee<\/strong>. Llamado <strong>Astaroth<\/strong>, este virus troyano se propaga a trav\u00e9s de correos electr\u00f3nicos de <strong>phishing<\/strong> que invitan a las v\u00edctimas a descargar un archivo de Windows (<em>.lnk<\/em>), el cual instala el malware en la computadora de la v\u00edctima.<\/p>\n<h2>Funcionamiento del Malware<\/h2>\n<p>Astaroth se ejecuta en segundo plano en el dispositivo, utilizando t\u00e9cnicas de <strong>keylogging<\/strong> para robar credenciales bancarias y de criptomonedas, y enviando dicha informaci\u00f3n a trav\u00e9s del <strong>proxy inverso Ngrok<\/strong>, que act\u00faa como intermediario entre servidores.<\/p>\n<h2>Caracter\u00edsticas \u00danicas<\/h2>\n<p>Una de las caracter\u00edsticas m\u00e1s singulares de Astaroth es que utiliza repositorios de GitHub para actualizar su configuraci\u00f3n de servidor cada vez que su servidor de comando y control es desactivado, lo que generalmente ocurre debido a la intervenci\u00f3n de firmas de ciberseguridad o agencias de aplicaci\u00f3n de la ley. <\/p>\n<blockquote><p>\u00abGitHub no se utiliza para alojar el malware en s\u00ed, sino solo para almacenar una configuraci\u00f3n que apunta al servidor bot\u00bb, explic\u00f3 Abhishek Karnik, Director de Investigaci\u00f3n y Respuesta a Amenazas en McAfee.<\/p><\/blockquote>\n<p>En una conversaci\u00f3n con <strong>Decrypt<\/strong>, Karnik detall\u00f3 que los responsables del malware est\u00e1n utilizando GitHub como un recurso para dirigir a las v\u00edctimas a servidores actualizados, lo que marca una diferencia con instancias anteriores en las que GitHub ha sido explotado. Esto incluye un vector de ataque descubierto por McAfee en 2024, donde actores maliciosos insertaron el malware <strong>Redline Stealer<\/strong> en repositorios de GitHub, un patr\u00f3n que se ha repetido este a\u00f1o en la campa\u00f1a <strong>GitVenom<\/strong>.<\/p>\n<blockquote><p>\u00abSin embargo, en este caso, no se est\u00e1 alojando malware, sino una configuraci\u00f3n que gestiona c\u00f3mo el malware se comunica con su infraestructura de backend\u00bb, agreg\u00f3 Karnik.<\/p><\/blockquote>\n<h2>Objetivos y Alcance<\/h2>\n<p>Al igual que en la campa\u00f1a GitVenom, el objetivo final de Astaroth es exfiltrar credenciales que pueden ser utilizadas para robar criptomonedas de una v\u00edctima o para realizar transferencias desde sus cuentas bancarias. <\/p>\n<blockquote><p>\u00abNo tenemos datos sobre cu\u00e1nto dinero o criptomonedas ha robado, pero parece ser muy prevalente, especialmente en Brasil\u00bb, coment\u00f3 Karnik.<\/p><\/blockquote>\n<p>Astaroth parece haber centrado su atenci\u00f3n principalmente en territorios sudamericanos, incluyendo <strong>M\u00e9xico<\/strong>, <strong>Uruguay<\/strong>, <strong>Argentina<\/strong>, <strong>Paraguay<\/strong>, <strong>Chile<\/strong>, <strong>Bolivia<\/strong>, <strong>Per\u00fa<\/strong>, <strong>Ecuador<\/strong>, <strong>Colombia<\/strong>, <strong>Venezuela<\/strong> y <strong>Panam\u00e1<\/strong>. Aunque tambi\u00e9n es capaz de dirigirse a <strong>Portugal<\/strong> e <strong>Italia<\/strong>, el malware est\u00e1 dise\u00f1ado de tal manera que no se carga en sistemas de <strong>Estados Unidos<\/strong> u otros pa\u00edses de habla inglesa, como <strong>Inglaterra<\/strong>.<\/p>\n<h2>Medidas de Prevenci\u00f3n<\/h2>\n<p>El malware apaga su sistema anfitri\u00f3n si detecta que se est\u00e1 ejecutando software de an\u00e1lisis, mientras que est\u00e1 programado para llevar a cabo funciones de keylogging si detecta que un navegador web est\u00e1 visitando ciertos sitios bancarios. Estos incluyen:<\/p>\n<ul>\n<li>caixa.gov.br<\/li>\n<li>safra.com.br<\/li>\n<li>itau.com.br<\/li>\n<li>bancooriginal.com.br<\/li>\n<li>santandernet.com.br<\/li>\n<li>btgpactual.com<\/li>\n<\/ul>\n<p>Adem\u00e1s, ha sido dise\u00f1ado para dirigirse a los siguientes dominios relacionados con criptomonedas:<\/p>\n<ul>\n<li>etherscan.io<\/li>\n<li>binance.com<\/li>\n<li>bitcointrade.com.br<\/li>\n<li>metamask.io<\/li>\n<li>foxbit.com.br<\/li>\n<li>localbitcoins.com<\/li>\n<\/ul>\n<p>Ante tales amenazas, McAfee aconseja a los usuarios que no abran archivos adjuntos o enlaces de remitentes desconocidos, y que utilicen <strong>software antivirus actualizado<\/strong> y <strong>autenticaci\u00f3n de dos factores<\/strong>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Introducci\u00f3n Los hackers est\u00e1n desplegando un troyano bancario que utiliza repositorios de GitHub cada vez que sus servidores son desactivados, seg\u00fan investigaciones de la firma de ciberseguridad McAfee. Llamado Astaroth, este virus troyano se propaga a trav\u00e9s de correos electr\u00f3nicos de phishing que invitan a las v\u00edctimas a descargar un archivo de Windows (.lnk), el cual instala el malware en la computadora de la v\u00edctima. Funcionamiento del Malware Astaroth se ejecuta en segundo plano en el dispositivo, utilizando t\u00e9cnicas de keylogging para robar credenciales bancarias y de criptomonedas, y enviando dicha informaci\u00f3n a trav\u00e9s del proxy inverso Ngrok, que act\u00faa<\/p>\n","protected":false},"author":3,"featured_media":10070,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[511,1746,606,1479,1515,8572,5338,1338,65,93,3437,621,8221,2858,4932,655,7866,46,1520],"class_list":["post-10071","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-argentina","tag-bolivia","tag-brazil","tag-chile","tag-colombia","tag-ecuador","tag-england","tag-github","tag-hack","tag-italy","tag-mcafee","tag-mexico","tag-panama","tag-paraguay","tag-peru","tag-portugal","tag-uruguay","tag-usa","tag-venezuela"],"yoast_description":"Descubre el troyano bancario Astaroth, que utiliza GitHub para robar credenciales de criptomonedas y bancarias a trav\u00e9s de ataques de phishing y t\u00e9cnicas de keylogging.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts\/10071","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/comments?post=10071"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts\/10071\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/media\/10070"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/media?parent=10071"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/categories?post=10071"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/tags?post=10071"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}