Astaroth 銀行木馬利用 GitHub 竊取加密憑證

黑客正在部署一種銀行木馬，每當服務器被關閉時，它就會利用 GitHub 存儲庫網絡安全公司 McAfee 的研究.

這種名為 AstARoth 的木馬病毒通過網絡釣魚電子郵件傳播，邀請受害者下載 Windows (.lnk) 文件，該文件會在主機上安裝惡意軟件。

Astaroth 在受害者設備的後台運行，使用鍵盤記錄竊取銀行和加密憑證，並使用 NGROK 反向代理（服務器之間的中介）發送此類憑證。

其獨特之處在於，每當其命令和控制服務器被關閉時，Astaroth 都會使用 GitHub 存儲庫來更新其服務器配置，這通常是由於網絡安全公司或執法機構的干預而發生的。

McAfee 威脅研究與響應總監 ABhishek Karnik 表示：“GitHub 不用於託管惡意軟件本身，而只是用於託管指向機器人服務器的配置。”

正在說話解密Karnik 解釋說，該惡意軟件的部署者正在使用 GitHub 作為資源，將受害者引導至更新的服務器，這使得此次攻擊與之前利用 GitHub 的案例有所區別。

其中包括 McAfee 在 2024 年發現的攻擊媒介，其中惡意行為者插入將 Redline Stealer 惡意軟件遷移到 GitHub 存儲庫，某事今年在 GitVenOM 活動中再次出現.

“然而，在這種情況下，託管的不是惡意軟件，而是管理惡意軟件如何與其後端基礎設施通信的配置，”Karnik 補充道。

與 GitVenom 活動一樣，Astaroth 的最終目的是竊取可用於竊取受害者加密貨幣或從其銀行賬戶轉賬的憑證。

卡尼克說：“我們沒有關於它竊取了多少金錢或加密貨幣的數據，但它似乎非常普遍，尤其是在巴西。”

瞄準南美

看來阿斯塔羅斯主要針對的是南美洲地區，包括墨西哥、烏拉圭、阿根廷、巴拉圭、智利、玻利維亞、秘魯、厄瓜多爾、哥倫比亞、委內瑞拉和巴拿馬。

雖然該惡意軟件也能針對葡萄牙和意大利，但其編寫方式使其不會上傳到美國或其他英語國家（如英國）的系統。

如果惡意軟件檢測到分析軟件正在運行，它就會關閉其主機系統；而如果它檢測到網絡瀏覽器正在訪問某些銀行網站，它就會運行鍵盤記錄功能。

這些包括 caixa.gov.br、safra.com.br、itau.com.br、bancooriginal.com.br、santandernet.com.br 和 btgpactual.com。

它還針對以下加密相關域名編寫：etherscan.io、binance.com、Bitcointrade.com.br、metamask.io、foxbit.com.br 和 localbitcoins.com。

面對此類威脅，邁克菲建議用戶不要打開來自未知發件人的附件或鏈接，同時使用最新的防病毒軟件和雙因素身份驗證。