Introduzione al Trojan Astaroth
Gli hacker stanno distribuendo un Trojan bancario che utilizza i repository di GitHub ogni volta che i suoi server vengono disattivati, secondo la ricerca della società di cybersecurity McAfee. Chiamato Astaroth, questo virus Trojan si diffonde tramite email di phishing che invitano le vittime a scaricare un file Windows (.lnk), il quale installa il malware su un computer ospite.
Funzionamento e caratteristiche di Astaroth
Astaroth opera in background sul dispositivo della vittima, utilizzando il keylogging per rubare credenziali bancarie e crypto, e inviando tali informazioni tramite il proxy inverso Ngrok, un intermediario tra server.
La caratteristica distintiva di Astaroth è l’uso dei repository di GitHub per aggiornare la configurazione del suo server ogni volta che il server di comando e controllo viene disattivato, un evento che di solito si verifica a causa dell’intervento di aziende di cybersecurity o agenzie di enforcement.
“GitHub non viene utilizzato per ospitare il malware stesso, ma solo per fornire una configurazione che punta al server bot,”
ha dichiarato Abhishek Karnik, Direttore della Ricerca e Risposta alle Minacce di McAfee.
Strategie di distribuzione e impatto
Parlando con Decrypt, Karnik ha spiegato che i distributori del malware stanno utilizzando GitHub come risorsa per indirizzare le vittime verso server aggiornati, il che distingue questo exploit da precedenti casi in cui GitHub è stato sfruttato. Questo include un vettore d’attacco scoperto da McAfee nel 2024, in cui attori malintenzionati hanno inserito il malware Redline Stealer nei repository di GitHub, un approccio ripetuto quest’anno nella campagna GitVenom.
“Tuttavia, in questo caso, non è il malware a essere ospitato, ma una configurazione che gestisce come il malware comunica con la sua infrastruttura backend,”
ha aggiunto Karnik.
Obiettivi e aree geografiche colpite
Come nella campagna GitVenom, lo scopo finale di Astaroth è esfiltrare credenziali che possono essere utilizzate per rubare crypto da una vittima o per effettuare trasferimenti dai loro conti bancari.
“Non abbiamo dati su quanto denaro o crypto abbia rubato, ma sembra essere molto diffuso, specialmente in Brasile,”
ha detto Karnik.
Sembra che Astaroth abbia principalmente preso di mira territori sudamericani, tra cui Messico, Uruguay, Argentina, Paraguay, Cile, Bolivia, Perù, Ecuador, Colombia, Venezuela e Panama. Sebbene sia anche in grado di colpire Portogallo e Italia, il malware è progettato in modo tale da non essere caricato su sistemi negli Stati Uniti o in altri paesi di lingua inglese, come l’Inghilterra.
Meccanismi di attacco e protezione
Il malware disattiva il sistema ospite se rileva che viene eseguito un software di analisi, mentre è progettato per eseguire funzioni di keylogging se rileva che un browser web sta visitando determinati siti bancari. Questi includono caixa.gov.br, safra.com.br, itau.com.br, bancooriginal.com.br, santandernet.com.br e btgpactual.com. È stato anche programmato per prendere di mira i seguenti domini legati alle crypto: etherscan.io, binance.com, bitcointrade.com.br, metamask.io, foxbit.com.br e localbitcoins.com.
Di fronte a tali minacce, McAfee consiglia agli utenti di non aprire allegati o link provenienti da mittenti sconosciuti, di utilizzare software antivirus aggiornati e di attivare l’autenticazione a due fattori.
