تروجان بانکی Astaroth، از GitHub برای دزدیدن اعتبارنامه‌های کریپتو استفاده می‌کند

هکرها در حال استقرار یک تروجان بانکی هستند که در زمان ویران شدن سرورهایش از مخازن گیت‌هاب استفاده می‌کند. تحقیقات شرکت امنیت سایبری مکافی .

ویروسی که به نام آستاروث شناخته می‌شود، از طریق ایمیل‌های فیشینگ منتشر می‌شود که قربانیان را به دانلود یک فایل ویندوزی (.lnk) دعوت می‌کند و این فایل بدافزار را بر روی کامپیوتر هدف نصب می‌کند.

آستاروت در پس‌زمینه دستگاه قربانی اجرا می‌شود و با استفاده از ضبط کلیدها، اطلاعات بانکی و رمزهای ارز را سرقت کرده و این اطلاعات را با استفاده از پروکسی معکوس نگروک (یک واسطه بین سرورها) ارسال می‌کند.

ویژگی منحصر به فرد آن این است که آستاروث از مخزن‌های گیت‌هاب برای به‌روزرسانی پیکربندی سرور خود استفاده می‌کند هرگاه سرور فرمان و کنترل آن غیرفعال شود، که معمولاً به دلیل مداخله شرکت‌های امنیت سایبری یا نهادهای اجرای قانون اتفاق می‌افتد.

«گیت‌هاب برای هاست کردن بدافزار خود استفاده نمی‌شود، بلکه فقط برای هاست کردن یک پیکربندی که به سرور ربات اشاره می‌کند، استفاده می‌شود» گفت آبه‌شک کارنیک، مدیر تحقیق و پاسخ به تهدیدات در مکافی.

صحبت کردن با رمزگشایی کارنیک توضیح داد که عاملان این بدافزار از گیت‌هاب به عنوان منبعی برای هدایت قربانیان به سرورهای به‌روز شده استفاده می‌کنند، که این بهره‌برداری را از موارد قبلی که در آن گیت‌هاب مورد استفاده قرار گرفته متمایز می‌کند.

این شامل یک عامل حمله است که توسط مکافی در سال 2024 کشف شد، جایی که بازیگران بد وارد کردند مالware سرقت‌کننده Redline به مخازن GitHub چیزی که این سال در کمپین گیت ونوم تکرار شده است .

با این حال، در این مورد، چیزی که میزبان است، بدافزار نیست بلکه یک پیکربندی است که نحوه ارتباط بدافزار با زیرساخت‌های پشتیبان خود را مدیریت می‌کند، کارنیک افزود.

مانند کمپین GitVenom، هدف نهایی آستاروت استخراج اعتبارنامه‌هایی است که می‌توان از آن‌ها برای دزدیدن رمزارز قربانی یا انتقال وجوه از حساب‌های بانکی‌اش استفاده کرد.

ما داده‌ای در مورد اینکه چقدر پول یا ارز رمزنگاری شده دزدیده است نداریم، اما به نظر می‌رسد که این موضوع به طور گسترده‌ای وجود دارد، به‌ویژه در برزیل، گفت کارنیک.



هدف‌گذاری بر روی America جنوبی

به نظر می‌رسد آستاروت عمدتاً به سرزمین‌های آمریکای جنوبی، از جمله مکزیک، اوروگوئه، آرژانتین، پاراگوئه، شیلی، بولیوی، پرو، اکوادور، کلمبیا، ونزوئلا و پاناما هدف قرار داده است.

در حالی که این بدافزار قادر به هدف قرار دادن پرتغال و ایتالیا است، به گونه‌ای نوشته شده است که به سیستم‌های ایالات متحده یا کشورهای دیگر انگلیسی‌زبان (مانند انگلستان) بارگذاری نمی‌شود.

بدافزار سیستم میزبان خود را خاموش می‌کند اگر تشخیص دهد که نرم‌افزار تحلیلی در حال اجرا است، در حالی که به گونه‌ای طراحی شده است که در صورت تشخیص بازدید از سایت‌های بانکی خاص، عملکردهای کی‌لاگینگ را اجرا کند.

این شامل caixa.gov.br، safra.com.br، itau.com.br، bancooriginal.com.br، santandernet.com.br و btgpactual.com می‌شود.

همچنین نوشته شده است که به هدف قرار دادن دامنه‌های مرتبط با ارزهای دیجیتال زیر بپردازد: etherscan.io، binance.com، bitcointrade.com.br، metamask.io، foxbit.com.br و localbitcoins.com.

در برابر چنین تهدیدهایی، مکافی توصیه می‌کند که کاربران از باز کردن پیوست‌ها یا لینک‌های ارسال‌شده از فرستندگان ناشناخته خودداری کنند و همچنین از نرم‌افزار آنتی‌ویروس به‌روز و احراز هویت دو مرحله‌ای استفاده کنند.