Introduktion
Hackare distribuerar en banktrojan som använder GitHub-repositorier när deras servrar tas ner, enligt forskning från cybersäkerhetsföretaget McAfee. Denna trojan, kallad Astaroth, sprids via phishing-e-postmeddelanden som uppmanar offer att ladda ner en Windows (.lnk) fil, vilket installerar skadlig programvara på deras datorer.
Funktionalitet och spridning
Astaroth körs i bakgrunden på offrets enhet och använder keylogging för att stjäla bank- och kryptovaluta credentials. Dessa credentials skickas sedan med hjälp av Ngrok reverse proxy, som fungerar som en mellanhand mellan servrar.
Användning av GitHub
”GitHub används inte för att hosta själva den skadliga programvaran, utan endast för att hosta en konfiguration som pekar på botservern,” förklarade Abhishek Karnik, direktör för hotforskning och respons på McAfee.
I ett samtal med Decrypt förklarade Karnik att de som distribuerar skadlig programvara använder GitHub som en resurs för att dirigera offer till uppdaterade servrar, vilket särskiljer detta utnyttjande från tidigare fall där GitHub har använts.
Attackvektorer och mål
Detta inkluderar en attackvektor som upptäcktes av McAfee 2024, där illvilliga aktörer infogade Redline Stealer skadlig programvara i GitHub-repositorier, något som har upprepats i år i GitVenom-kampanjen. ”Men i det här fallet är det inte skadlig programvara som hostas, utan en konfiguration som hanterar hur den skadliga programvaran kommunicerar med sin backend-infrastruktur,” tillade Karnik.
Precis som i GitVenom-kampanjen är Astaroths slutliga syfte att exfiltrera credentials som kan användas för att stjäla offrets kryptovaluta eller för att göra överföringar från deras bankkonton.
Geografisk spridning
”Vi har inga data om hur mycket pengar eller kryptovaluta som har stulits, men den verkar vara mycket utbredd, särskilt i Brasilien,” sa Karnik.
Det verkar som att Astaroth främst har riktat sig mot sydamerikanska territorier, inklusive Mexiko, Uruguay, Argentina, Paraguay, Chile, Bolivia, Peru, Ecuador, Colombia, Venezuela och Panama. Även om den också kan rikta sig mot Portugal och Italien, är den skadliga programvaran skriven så att den inte laddas upp till system i USA eller andra engelsktalande länder (såsom England).
Skyddsåtgärder
Den skadliga programvaran stänger ner sitt värdsystem om den upptäcker att analysprogramvara körs, medan den är designad för att köra keylogging-funktioner om den upptäcker att en webbläsare besöker vissa bankwebbplatser. Dessa inkluderar:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
Den har också programmerats för att rikta sig mot följande kryptovaluta-relaterade domäner:
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
I ljuset av sådana hot rekommenderar McAfee att användare inte öppnar bilagor eller länkar från okända avsändare, samt att de använder uppdaterad antivirusprogramvara och tvåfaktorsautentisering.
