Троян Astaroth викрадає криптодані через GitHub: загроза банківському шахрайству.

Троян Astaroth для банківського шахрайства використовує GitHub для викрадення криптографічних даних

За даними дослідження компанії з кібербезпеки McAfee, зловмисники використовують банківський троян, який використовує репозиторії GitHub, коли їхні сервери виводяться з ладу.

Троян відомий як Astaroth, поширюється через фішингові електронні листи, які запрошують жертв завантажити файл для Windows (.lnk), що встановлює шкідливе ПЗ на комп`ютер жертви.

Astaroth працює у фоновому режимі на пристрої жертви, використовуючи кейлоггинг для викрадення банківських і криптографічних даних, передаючи їх за допомогою зворотного проксі Ngrok (посередник між серверами).

Унікальною особливістю Astaroth є те, що він використовує репозиторії GitHub для оновлення конфігурації свого сервера щойно його сервер керування буде виведено з ладу, що зазвичай стається через втручання фахівців з кібербезпеки або правоохоронних органів.

«GitHub не використовується для хостингу самого шкідливого ПЗ, а просто для хостингу конфігурації, яка вказує на бот-сервер», - сказав Абхішек Карнік, директор з досліджень загроз та реагування в McAfee.

В інтерв’ю з Decrypt Карнік пояснив, що розробники шкідливого ПЗ використовують GitHub як ресурс, щоб направляти жертв до оновлених серверів, що відрізняє цей експлойт від попередніх випадків, коли GitHub також використовувався.

Це включає атакуючий вектор, виявлений McAfee у 2024 році, коли зловмисники вставили шкідливе ПЗ Redline Stealer до репозиторіїв GitHub, що повторилось цього року в кампанії GitVenom.

«Проте в даному випадку це не шкідливе ПЗ, що хоститься, а конфігурація, яка управляє тим, як шкідливе ПЗ взаємодіє зі своєю серверною інфраструктурою», - додав Карнік.

Як і в кампанії GitVenom, кінцевою метою Astaroth є вилучення даних, які можуть бути використані для викрадення криптовалюти жертв або для здійснення переказів з їх банківських рахунків.

«У нас немає даних про те, скільки коштів або криптовалюти було викрадено, але виглядає так, що троян дуже поширений, особливо в Бразилії», - зазначив Карнік.

Націленість на Південну Америку

Схоже, що Astaroth в основному націлений на території Південної Америки, включаючи Мексику, Уругвай, Аргентину, Парагвай, Чилі, Болівію, Перу, Еквадор, Колумбію, Венесуелу та Панаму.

Хоча він також здатний націлюватись на Португалію та Італію, програмне забезпечення написано так, що його не завантажують на системи в Сполучених Штатах або інших англомовних країнах (таких як Англія).

Шкідливе ПЗ вимикає свою хост-систему, якщо виявляє, що працює програмне забезпечення для аналізу, тоді як воно призначене для виконання функцій кейлоггинга, якщо виявляє, що веб-браузер відвідує певні банківські сайти.

До них належать caixa.gov.br, safra.com.br, itau.com.br, bancooriginal.com.br, santandernet.com.br та btgpactual.com.

Також воно було написане для націлювання на наступні криптовалютні домени: etherscan.io, binance.com, bitcointrade.com.br, metamask.io, foxbit.com.br та localbitcoins.com.

У світлі таких загроз McAfee радить користувачам не відкривати вкладення або посилання від невідомих відправників, а також використовувати актуальне антивірусне програмне забезпечення та двофакторну автентифікацію.