Hacker setzen einen Banking-Trojaner ein<\/strong>, der GitHub-Repositories nutzt, um seine Serverkonfiguration zu aktualisieren, sobald seine Server abgeschaltet werden. Dies geht aus einer Untersuchung des Cybersicherheitsunternehmens McAfee<\/em> hervor.<\/p>\n Der Trojaner mit dem Namen Astaroth<\/strong> wird \u00fcber Phishing-E-Mails<\/strong> verbreitet, die die Opfer dazu verleiten, eine Windows-Datei (.lnk) herunterzuladen, die die Malware auf dem Computer des Opfers installiert. Astaroth l\u00e4uft im Hintergrund des Ger\u00e4ts, verwendet Keylogging<\/strong>, um Bank- und Krypto-Zugangsdaten zu stehlen, und sendet diese Informationen \u00fcber den Ngrok-Reverse-Proxy<\/strong>, der als Vermittler zwischen Servern fungiert.<\/p>\n Ein einzigartiges Merkmal von Astaroth ist die Nutzung von GitHub-Repositories zur Aktualisierung seiner Serverkonfiguration, wenn sein Command-and-Control-Server abgeschaltet wird, was h\u00e4ufig durch Eingriffe von Cybersicherheitsfirmen oder Strafverfolgungsbeh\u00f6rden geschieht.<\/p>\n<\/blockquote>\n „GitHub wird nicht verwendet, um die Malware selbst zu hosten, sondern lediglich, um eine Konfiguration zu speichern, die auf den Bot-Server verweist“, erkl\u00e4rte Abhishek Karnik<\/em>, Direktor f\u00fcr Bedrohungsforschung und -reaktion bei McAfee.<\/p>\n Im Gespr\u00e4ch mit Decrypt<\/em> erl\u00e4uterte Karnik, dass die Betreiber der Malware GitHub als Ressource nutzen, um die Opfer auf aktualisierte Server zu leiten. Dies unterscheidet sich von fr\u00fcheren F\u00e4llen, in denen GitHub als Angriffsvektor verwendet wurde. Ein Beispiel hierf\u00fcr ist ein Angriff, den McAfee 2024 entdeckte, bei dem b\u00f6swillige Akteure die Redline Stealer-Malware<\/strong> in GitHub-Repositories einf\u00fcgten, was in diesem Jahr in der GitVenom-Kampagne<\/strong> wiederholt wurde.<\/p>\n „In diesem Fall wird jedoch keine Malware gehostet, sondern eine Konfiguration, die steuert, wie die Malware mit ihrer Backend-Infrastruktur kommuniziert“, f\u00fcgte Karnik hinzu.<\/p>\n<\/blockquote>\n Wie bei der GitVenom-Kampagne besteht das letztendliche Ziel von Astaroth darin, Zugangsdaten zu exfiltrieren<\/strong>, die verwendet werden k\u00f6nnen, um Krypto eines Opfers zu stehlen oder \u00dcberweisungen von deren Bankkonten vorzunehmen. „Wir haben keine Daten dar\u00fcber, wie viel Geld oder Krypto gestohlen wurde, aber es scheint sehr verbreitet zu sein, insbesondere in Brasilien“, sagte Karnik.<\/p>\n Astaroth hat haupts\u00e4chlich s\u00fcdamerikanische L\u00e4nder ins Visier genommen, darunter Mexiko, Uruguay, Argentinien, Paraguay, Chile, Bolivien, Peru, Ecuador, Kolumbien, Venezuela und Panama<\/strong>. Obwohl die Malware auch in der Lage ist, Portugal und Italien anzugreifen, ist sie so programmiert, dass sie nicht auf Systeme in den Vereinigten Staaten oder anderen englischsprachigen L\u00e4ndern (wie England) zugreift.<\/p>\n Die Malware deaktiviert ihr Host-System, wenn sie erkennt, dass Analysetools<\/strong> betrieben werden, und f\u00fchrt Keylogging-Funktionen aus, wenn sie erkennt, dass ein Webbrowser bestimmte Bankseiten besucht. Dazu geh\u00f6ren unter anderem:<\/p>\n Zudem wurde sie so programmiert, dass sie folgende krypto-bezogene Domains angreift:<\/p>\n Angesichts solcher Bedrohungen r\u00e4t McAfee den Nutzern, keine Anh\u00e4nge oder Links von unbekannten Absendern<\/strong> zu \u00f6ffnen und aktuelle Antivirensoftware<\/strong> sowie eine Zwei-Faktor-Authentifizierung<\/strong> zu verwenden.<\/p>\n","protected":false},"excerpt":{"rendered":" Einf\u00fchrung in den Banking-Trojaner Astaroth Hacker setzen einen Banking-Trojaner ein, der GitHub-Repositories nutzt, um seine Serverkonfiguration zu aktualisieren, sobald seine Server abgeschaltet werden. Dies geht aus einer Untersuchung des Cybersicherheitsunternehmens McAfee hervor. Verbreitung und Funktionsweise Der Trojaner mit dem Namen Astaroth wird \u00fcber Phishing-E-Mails verbreitet, die die Opfer dazu verleiten, eine Windows-Datei (.lnk) herunterzuladen, die die Malware auf dem Computer des Opfers installiert. Astaroth l\u00e4uft im Hintergrund des Ger\u00e4ts, verwendet Keylogging, um Bank- und Krypto-Zugangsdaten zu stehlen, und sendet diese Informationen \u00fcber den Ngrok-Reverse-Proxy, der als Vermittler zwischen Servern fungiert. Nutzung von GitHub Ein einzigartiges Merkmal von Astaroth ist die<\/p>\n","protected":false},"author":3,"featured_media":10064,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[511,1746,606,1479,1515,8571,5338,1338,65,93,3437,621,8221,2858,4932,655,7866,46,1520],"class_list":["post-10065","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-argentina","tag-bolivia","tag-brazil","tag-chile","tag-colombia","tag-ecuador","tag-england","tag-github","tag-hack","tag-italy","tag-mcafee","tag-mexico","tag-panama","tag-paraguay","tag-peru","tag-portugal","tag-uruguay","tag-usa","tag-venezuela"],"yoast_description":"Erfahren Sie mehr \u00fcber den Astaroth Banking Trojaner, der GitHub nutzt, um Krypto- und Bankzugangsdaten \u00fcber Phishing-Angriffe und Keylogging zu stehlen.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/10065","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/comments?post=10065"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/10065\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media\/10064"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media?parent=10065"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/categories?post=10065"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/tags?post=10065"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Verbreitung und Funktionsweise<\/h2>\n
Nutzung von GitHub<\/h2>\n
\n
Vergleich mit fr\u00fcheren Angriffen<\/h2>\n
\n
Ziele und Auswirkungen<\/h2>\n
Verhaltensweisen der Malware<\/h2>\n
\n
\n
Empfehlungen zur Sicherheit<\/h2>\n