Introduktion til Astaroth Trojan
Hackere deployerer en banking Trojan, der udnytter GitHub-repositorier, når dens servere bliver taget ned, ifølge forskning fra cybersikkerhedsfirmaet McAfee. Kaldet Astaroth, spreder Trojan-virussen sig via phishing-e-mails, der inviterer ofre til at downloade en Windows (.lnk) fil, som installerer malware på en værtcomputer.
Hvordan Astaroth fungerer
Astaroth kører i baggrunden på offerets enhed, bruger keylogging til at stjæle bank- og krypto credentials og sender disse credentials ved hjælp af Ngrok reverse proxy (en mellemmand mellem servere). Dens unikke funktion er, at Astaroth bruger GitHub-repositorier til at opdatere sin serverkonfiguration, når dens command-and-control server bliver taget ned, hvilket normalt sker på grund af indgreb fra cybersikkerhedsfirmaer eller retshåndhævende myndigheder.
“GitHub bruges ikke til at hoste selve malware, men blot til at hoste en konfiguration, der peger på bot-serveren,” sagde Abhishek Karnik, direktør for trussel forskning og respons hos McAfee.
Udnyttelse af GitHub
I et interview med Decrypt forklarede Karnik, at malwareens deployere bruger GitHub som en ressource til at dirigere ofre til opdaterede servere, hvilket adskiller udnyttelsen fra tidligere tilfælde, hvor GitHub er blevet udnyttet. Dette inkluderer en angrebsvektor opdaget af McAfee i 2024, hvor kriminelle indsatte Redline Stealer malware i GitHub-repositorier, noget der er blevet gentaget i år i GitVenom-kampagnen.
“Men i dette tilfælde er det ikke malware, der bliver hostet, men en konfiguration, der styrer, hvordan malware kommunikerer med sin backend-infrastruktur,” tilføjede Karnik.
Målretning og konsekvenser
Som med GitVenom-kampagnen er Astaroths ultimative formål at eksfiltrere credentials, der kan bruges til at stjæle et offers krypto eller til at foretage overførsler fra deres bankkonti. “Vi har ikke data om, hvor mange penge eller krypto det har stjålet, men det ser ud til at være meget udbredt, især i Brasilien,” sagde Karnik.
Det ser ud til, at Astaroth primært har målrettet sydamerikanske territorier, herunder Mexico, Uruguay, Argentina, Paraguay, Chile, Bolivia, Peru, Ecuador, Colombia, Venezuela og Panama. Selvom det også er i stand til at målrette Portugal og Italien, er malware skrevet, så den ikke bliver uploadet til systemer i USA eller andre engelsktalende lande (såsom England).
Beskyttelsesforanstaltninger
Malware lukker sit værtsystem ned, hvis det opdager, at analyse-software kører, mens det er designet til at køre keylogging-funktioner, hvis det opdager, at en webbrowser besøger bestemte bankwebsteder. Disse inkluderer:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
Det er også skrevet til at målrette følgende krypto-relaterede domæner:
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
I lyset af sådanne trusler rådgiver McAfee brugere til ikke at åbne vedhæftede filer eller links fra ukendte afsendere, samt at bruge opdateret antivirussoftware og to-faktor autentificering.
