Introduksjon
Hackere distribuerer en banktrojaner som benytter seg av GitHub-repositorier når serverne deres blir tatt ned, ifølge forskning fra cybersikkerhetsfirmaet McAfee. Kalt Astaroth, sprer trojaneren seg via phishing-e-poster som inviterer ofrene til å laste ned en Windows (.lnk) fil, som installerer skadelig programvare på en vertsmaskin.
Funksjoner av Astaroth
Astaroth kjører i bakgrunnen på offerets enhet, bruker tastelogging for å stjele bank- og kryptovaluta-kredentialer, og sender disse kredentialene ved hjelp av Ngrok, en omvendt proxy (en mellommann mellom servere). Dens unike funksjon er at Astaroth bruker GitHub-repositorier for å oppdatere serverkonfigurasjonen sin hver gang kommandoserveren blir tatt ned, noe som vanligvis skjer på grunn av inngripen fra cybersikkerhetsfirmaer eller rettshåndhevende myndigheter.
«GitHub brukes ikke til å hoste selve skadelig programvare, men bare til å hoste en konfigurasjon som peker til botserveren,» sa Abhishek Karnik, direktør for trussel forskning og respons hos McAfee.
Utnyttelse av GitHub
I et intervju med Decrypt forklarte Karnik at de som distribuerer skadelig programvare bruker GitHub som en ressurs for å lede ofrene til oppdaterte servere, noe som skiller denne utnyttelsen fra tidligere tilfeller der GitHub har blitt utnyttet. Dette inkluderer en angrepsvektor oppdaget av McAfee i 2024, der kriminelle aktører satte inn Redline Stealer skadelig programvare i GitHub-repositorier, noe som har blitt gjentatt i år i GitVenom-kampanjen.
«Men i dette tilfellet er det ikke skadelig programvare som blir hostet, men en konfigurasjon som styrer hvordan den skadelige programvaren kommuniserer med sin backend-infrastruktur,» la Karnik til.
Målretting og konsekvenser
Som med GitVenom-kampanjen, er Astaroths endelige mål å eksfiltrere kredentialer som kan brukes til å stjele et offers kryptovaluta eller å foreta overføringer fra bankkontoene deres. «Vi har ikke data om hvor mye penger eller kryptovaluta som har blitt stjålet, men det ser ut til å være veldig utbredt, spesielt i Brasil,» sa Karnik.
Det ser ut til at Astaroth primært har målrettet Sør-Amerikanske territorier, inkludert Mexico, Uruguay, Argentina, Paraguay, Chile, Bolivia, Peru, Ecuador, Colombia, Venezuela og Panama. Selv om det også er i stand til å målrette Portugal og Italia, er den skadelige programvaren skrevet slik at den ikke lastes opp til systemer i USA eller andre engelsktalende land (som Storbritannia).
Beskyttelse mot trusler
Den skadelige programvaren stenger ned verts-systemet hvis den oppdager at analyseprogramvare er i drift, mens den er designet for å kjøre tastelogging-funksjoner hvis den oppdager at en nettleser besøker bestemte banknettsteder. Disse inkluderer:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
Den har også blitt skrevet for å målrette følgende kryptovaluta-relaterte domener:
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
I møte med slike trusler anbefaler McAfee at brukere ikke åpner vedlegg eller lenker fra ukjente avsendere, samtidig som de bruker oppdatert antivirusprogramvare og to-faktorautentisering.
