Introduction
Des hackers déploient un Trojan bancaire qui utilise des dépôts GitHub chaque fois que ses serveurs sont mis hors ligne, selon des recherches de la société de cybersécurité McAfee. Nommé Astaroth, ce virus se propage via des e-mails de phishing incitant les victimes à télécharger un fichier Windows (.lnk), ce qui installe le malware sur leur ordinateur.
Fonctionnement d’Astaroth
Astaroth fonctionne en arrière-plan de l’appareil de la victime, utilisant le keylogging pour voler des identifiants bancaires et crypto, et envoyant ces informations via le proxy inverse Ngrok, qui sert d’intermédiaire entre les serveurs. Sa caractéristique unique est qu’Astaroth utilise des dépôts GitHub pour mettre à jour sa configuration de serveur chaque fois que son serveur de commande et de contrôle est mis hors ligne, ce qui se produit généralement en raison d’interventions de sociétés de cybersécurité ou d’agences d’application de la loi.
« GitHub n’est pas utilisé pour héberger le malware lui-même, mais simplement pour héberger une configuration qui pointe vers le serveur bot, » a déclaré Abhishek Karnik, directeur de la recherche et de la réponse aux menaces chez McAfee.
S’exprimant auprès de Decrypt, Karnik a expliqué que les déployeurs du malware utilisent GitHub comme ressource pour diriger les victimes vers des serveurs mis à jour, ce qui distingue cette exploitation des précédentes instances où GitHub a été utilisé. Cela inclut un vecteur d’attaque découvert par McAfee en 2024, dans lequel des acteurs malveillants ont inséré le malware Redline Stealer dans des dépôts GitHub, une méthode qui a été répétée cette année dans la campagne GitVenom.
« Cependant, dans ce cas, ce n’est pas un malware qui est hébergé, mais une configuration qui gère comment le malware communique avec son infrastructure backend, » a ajouté Karnik.
Ciblage et Impact
Comme avec la campagne GitVenom, le but ultime d’Astaroth est d’exfiltrer des identifiants qui peuvent être utilisés pour voler la crypto d’une victime ou pour effectuer des transferts depuis leurs comptes bancaires. « Nous n’avons pas de données sur combien d’argent ou de crypto cela a volé, mais il semble être très répandu, surtout au Brésil, » a déclaré Karnik.
Astaroth semble principalement cibler des territoires sud-américains, y compris le Mexique, l’Uruguay, l’Argentine, le Paraguay, le Chili, la Bolivie, le Pérou, l’Équateur, la Colombie, le Venezuela et le Panama. Bien qu’il soit également capable de cibler le Portugal et l’Italie, le malware est conçu pour ne pas être téléchargé sur des systèmes situés aux États-Unis ou dans d’autres pays anglophones (comme l’Angleterre).
Le malware désactive son système hôte s’il détecte qu’un logiciel d’analyse est en cours d’exécution, tandis qu’il est programmé pour exécuter des fonctions de keylogging s’il détecte qu’un navigateur web visite certains sites bancaires. Ceux-ci incluent :
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
Il a également été conçu pour cibler les domaines liés à la crypto suivants :
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
Conseils de Sécurité
Face à de telles menaces, McAfee conseille aux utilisateurs de ne pas ouvrir les pièces jointes ou les liens provenant d’expéditeurs inconnus, tout en utilisant un logiciel antivirus à jour et l’authentification à deux facteurs.
