12-05-2025, 05:13 PM
Nombre:
Aurora Stealer
Categoría:
Infostealer (MaaS, muy usado por “traffers”)
Fecha de descubrimiento:
Aproximadamente 2022
Comportamiento (lo que hace y archivos que infecta):
Ejemplo de muestra pública (Aurora Stealer):
Mitigación con GetOverX Shield v3.0.2.0 o superior:
Aurora Stealer
Categoría:
Infostealer (MaaS, muy usado por “traffers”)
Fecha de descubrimiento:
Aproximadamente 2022
Comportamiento (lo que hace y archivos que infecta):
- Distribuido como servicio, con fuerte apoyo de equipos de tráfico (“traffers”).
- Roba cookies, credenciales, wallets, datos de navegadores y otra información sensible.
- Usado en campañas con anuncios falsos de software (por ejemplo Notepad++), sitios de descargas pirata y páginas de phishing.
- Se instala en rutas de usuario y puede mantener persistencia a través de claves de inicio automático.
- Usa infraestructura C2 que cambia con frecuencia y técnicas de ofuscación para evadir firmas.
Ejemplo de muestra pública (Aurora Stealer):
Code:
c148c449e1f6c4c53a7278090453d935d1ab71c3e8b69511f98993b6057f612d- Antivirus:
- Analizar descargables provenientes de anuncios patrocinados que prometen “descargas rápidas” o versiones modificadas de software popular.
- Bloquear ejecutables que realicen acceso masivo a directorios de datos de navegador.
- Analizar descargables provenientes de anuncios patrocinados que prometen “descargas rápidas” o versiones modificadas de software popular.
- Firewall:
- Monitorizar conexiones a IPs/puertos marcados como C2 de Aurora.
- En caso de detección, aislar el host de la red mientras se realiza análisis forense.
- Monitorizar conexiones a IPs/puertos marcados como C2 de Aurora.
- HIPS/EDR:
- Configurar reglas para detectar acceso simultáneo a múltiples perfiles de navegador y exfiltración de datos en una sola sesión.
- Activar respuesta automática (terminar proceso + bloquear hash).
- Configurar reglas para detectar acceso simultáneo a múltiples perfiles de navegador y exfiltración de datos en una sola sesión.
- Sandbox:
- Probar instaladores descargados desde enlaces “raros” en Sandbox, verificando si intentan contactar inmediatamente con C2.
- No desplegar en producción ningún ejecutable que inicie tráfico a dominios sin reputación justo tras la instalación.
- Probar instaladores descargados desde enlaces “raros” en Sandbox, verificando si intentan contactar inmediatamente con C2.
- Medidas posteriores al incidente:
- Rotar todas las credenciales expuestas y revisar accesos sospechosos en servicios en la nube.
- Analizar si la máquina ha sido usada como punto de salto para nuevas infecciones.
- Rotar todas las credenciales expuestas y revisar accesos sospechosos en servicios en la nube.