Троян Astaroth: Как хакеры используют GitHub для кражи криптокредитов

Троянец Astaroth: кража криптокредитов с использованием GitHub

Хакеры развернули банковский троян, который использует репозитории GitHub, когда его серверы отключаются, согласно исследованию кибербезопасной компании McAfee.

Называемый Astaroth, этот вирус распространяется через фишинговые электронные письма, которые приглашают жертв скачать файл Windows (.lnk), что устанавливает вредоносное ПО на целевой компьютер.

Astaroth работает в фоновом режиме устройства жертвы, используя кейлоггинг для кражи банковских и криптовалютных учетных данных, и отправляет такие данные с помощью обратного прокси Ngrok (посредника между серверами).

Его уникальная особенность заключается в том, что Astaroth использует репозитории GitHub для обновления конфигурации сервера всякий раз, когда его сервер командования и контроля отключается, что обычно происходит из-за вмешательства компаний по кибербезопасности или правоохранительных органов.

“GitHub не используется для хостинга самого вредоносного ПО, а лишь для размещения конфигурации, которая указывает на сервер бота,” - сказал Абхишек Карник, директор по исследованиям и реагированию на угрозы в McAfee.

Говоря с Decrypt, Карник объяснил, что развертыватели вредоносного ПО используют GitHub как ресурс для направления жертв на обновленные серверы, что отличает данное взлом от предыдущих случаев использования GitHub.

Это включает вектор атаки, обнаруженный McAfee в 2024 году, в котором злоумышленники встроили вредоносное ПО Redline Stealer в репозитории GitHub, что было повторено в этом году в кампании GitVenom.

“Однако в этом случае это не вредоносное ПО, которое размещается, а конфигурация, которая управляет тем, как вредоносное ПО взаимодействует с его бэкэнд-инфраструктурой,” - добавил Карник.

Как и в кампании GitVenom, главная цель Astaroth заключается в экстракции учетных данных, которые можно использовать для кражи криптовалюты жертвы или для проведения переводов со счетов в банке.

“У нас нет данных о том, сколько денег или криптовалюты он украл, но, похоже, он очень распространен, особенно в Бразилии,` - сказал Карник.

Целевые страны Южной Америки

Похоже, что Astaroth в первую очередь нацелился на страны Южной Америки, включая Мексику, Уругвай, Аргентину, Парагвай, Чили, Боливию, Перу, Эквадор, Колумбию, Венесуэлу и Панаму.

Хотя он также способен нацеливаться на Португалию и Италию, вредоносное ПО написано так, что оно не загружается на системы в Соединенных Штатах или других англоговорящих странах (таких как Англия).

Вредоносное ПО отключает свою хост-систему, если обнаруживает, что работает программное обеспечение для анализа, в то время как оно спроектировано для выполнения функций кейлоггинга, если замечает, что веб-браузер посещает определенные банковские сайты.

• caixa.gov.br
• safra.com.br
• itau.com.br
• bancooriginal.com.br
• santandernet.com.br
• btgpactual.com

Он также был написан для нацеливания на следующие крипто-сайты:

• etherscan.io
• binance.com
• bitcointrade.com.br
• metamask.io
• foxbit.com.br
• localbitcoins.com

В условиях таких угроз McAfee рекомендует пользователям не открывать вложения и ссылки от неизвестных отправителей, а также использовать актуальное антивирусное программное обеспечение и двухфакторную аутентификацию.