Введение
Хакеры развернули банковский троян, использующий репозитории GitHub для обхода отключений своих серверов, согласно исследованию кибербезопасной компании McAfee.
Описание трояна Astaroth
Этот троян, названный Astaroth, распространяется через фишинговые электронные письма, которые приглашают жертв скачать файл Windows (.lnk), устанавливающий вредоносное ПО на компьютер. Astaroth работает в фоновом режиме устройства жертвы, применяя кейлоггинг для кражи банковских и криптовалютных учетных данных, которые затем отправляются через обратный прокси Ngrok (посредник между серверами).
Уникальные особенности Astaroth
Уникальная особенность Astaroth заключается в том, что он использует репозитории GitHub для обновления конфигурации своего сервера, когда его сервер командования и управления отключается, что обычно происходит из-за вмешательства кибербезопасных компаний или правоохранительных органов.
«GitHub не используется для хостинга самого вредоносного ПО, а только для хостинга конфигурации, которая указывает на сервер бота», — отметил Абхишек Карник, директор по исследованию угроз и реагированию в McAfee.
Методы распространения и атаки
В интервью Decrypt Карник объяснил, что развертыватели вредоносного ПО используют GitHub как ресурс для направления жертв к обновленным серверам, что отличает эту эксплуатацию от предыдущих случаев, когда GitHub использовался. Это включает вектор атаки, обнаруженный McAfee в 2024 году, когда злоумышленники вставили вредоносное ПО Redline Stealer в репозитории GitHub, что повторилось в этом году в кампании GitVenom.
«Однако в этом случае не само вредоносное ПО размещается, а конфигурация, которая управляет тем, как вредоносное ПО взаимодействует с его бэкенд-инфраструктурой», — добавил Карник.
Цели и география атак
Как и в кампании GitVenom, конечная цель Astaroth — эксфильтрация учетных данных, которые могут быть использованы для кражи криптовалюты жертвы или для перевода средств с их банковских счетов. «У нас нет данных о том, сколько денег или криптовалюты он украл, но, похоже, он очень распространен, особенно в Бразилии», — сказал Карник.
Astaroth в первую очередь нацелился на территории Южной Америки, включая Мексику, Уругвай, Аргентину, Парагвай, Чили, Боливию, Перу, Эквадор, Колумбию, Венесуэлу и Панаму. Хотя он также способен нацеливаться на Португалию и Италию, вредоносное ПО написано так, чтобы не загружаться на системы в Соединенных Штатах или других англоязычных странах (таких как Великобритания).
Защита от угроз
Вредоносное ПО отключает свою хост-систему, если обнаруживает, что работает программное обеспечение для анализа, в то время как оно предназначено для выполнения функций кейлоггинга, если обнаруживает, что веб-браузер посещает определенные банковские сайты. К ним относятся:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
Оно также было написано для нацеливания на следующие криптовалютные домены:
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
В условиях таких угроз McAfee советует пользователям не открывать вложения или ссылки от неизвестных отправителей, а также использовать актуальное антивирусное программное обеспечение и двухфакторную аутентификацию.
