Einführung in den Banking-Trojaner Astaroth
Hacker setzen einen Banking-Trojaner ein, der GitHub-Repositories nutzt, um seine Serverkonfiguration zu aktualisieren, sobald seine Server abgeschaltet werden. Dies geht aus einer Untersuchung des Cybersicherheitsunternehmens McAfee hervor.
Verbreitung und Funktionsweise
Der Trojaner mit dem Namen Astaroth wird über Phishing-E-Mails verbreitet, die die Opfer dazu verleiten, eine Windows-Datei (.lnk) herunterzuladen, die die Malware auf dem Computer des Opfers installiert. Astaroth läuft im Hintergrund des Geräts, verwendet Keylogging, um Bank- und Krypto-Zugangsdaten zu stehlen, und sendet diese Informationen über den Ngrok-Reverse-Proxy, der als Vermittler zwischen Servern fungiert.
Nutzung von GitHub
Ein einzigartiges Merkmal von Astaroth ist die Nutzung von GitHub-Repositories zur Aktualisierung seiner Serverkonfiguration, wenn sein Command-and-Control-Server abgeschaltet wird, was häufig durch Eingriffe von Cybersicherheitsfirmen oder Strafverfolgungsbehörden geschieht.
„GitHub wird nicht verwendet, um die Malware selbst zu hosten, sondern lediglich, um eine Konfiguration zu speichern, die auf den Bot-Server verweist“, erklärte Abhishek Karnik, Direktor für Bedrohungsforschung und -reaktion bei McAfee.
Vergleich mit früheren Angriffen
Im Gespräch mit Decrypt erläuterte Karnik, dass die Betreiber der Malware GitHub als Ressource nutzen, um die Opfer auf aktualisierte Server zu leiten. Dies unterscheidet sich von früheren Fällen, in denen GitHub als Angriffsvektor verwendet wurde. Ein Beispiel hierfür ist ein Angriff, den McAfee 2024 entdeckte, bei dem böswillige Akteure die Redline Stealer-Malware in GitHub-Repositories einfügten, was in diesem Jahr in der GitVenom-Kampagne wiederholt wurde.
„In diesem Fall wird jedoch keine Malware gehostet, sondern eine Konfiguration, die steuert, wie die Malware mit ihrer Backend-Infrastruktur kommuniziert“, fügte Karnik hinzu.
Ziele und Auswirkungen
Wie bei der GitVenom-Kampagne besteht das letztendliche Ziel von Astaroth darin, Zugangsdaten zu exfiltrieren, die verwendet werden können, um Krypto eines Opfers zu stehlen oder Überweisungen von deren Bankkonten vorzunehmen. „Wir haben keine Daten darüber, wie viel Geld oder Krypto gestohlen wurde, aber es scheint sehr verbreitet zu sein, insbesondere in Brasilien“, sagte Karnik.
Astaroth hat hauptsächlich südamerikanische Länder ins Visier genommen, darunter Mexiko, Uruguay, Argentinien, Paraguay, Chile, Bolivien, Peru, Ecuador, Kolumbien, Venezuela und Panama. Obwohl die Malware auch in der Lage ist, Portugal und Italien anzugreifen, ist sie so programmiert, dass sie nicht auf Systeme in den Vereinigten Staaten oder anderen englischsprachigen Ländern (wie England) zugreift.
Verhaltensweisen der Malware
Die Malware deaktiviert ihr Host-System, wenn sie erkennt, dass Analysetools betrieben werden, und führt Keylogging-Funktionen aus, wenn sie erkennt, dass ein Webbrowser bestimmte Bankseiten besucht. Dazu gehören unter anderem:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
Zudem wurde sie so programmiert, dass sie folgende krypto-bezogene Domains angreift:
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
Empfehlungen zur Sicherheit
Angesichts solcher Bedrohungen rät McAfee den Nutzern, keine Anhänge oder Links von unbekannten Absendern zu öffnen und aktuelle Antivirensoftware sowie eine Zwei-Faktor-Authentifizierung zu verwenden.
