Astaroth 银行木马利用 GitHub 窃取加密凭证

黑客正在部署一种银行木马，每当服务器被关闭时，它就会利用 GitHub 存储库网络安全公司 McAfee 的研究.

这种名为 Astaroth 的木马病毒通过网络钓鱼电子邮件传播，邀请受害者下载 Windows (.lnk) 文件，该文件会在主机上安装恶意软件。

Astaroth 在受害者设备的后台运行，使用键盘记录窃取银行和加密凭证，并使用 Ngrok 反向代理（服务器之间的中介）发送此类凭证。

其独特之处在于，每当其命令和控制服务器被关闭时，Astaroth 都会使用 GitHub 存储库来更新其服务器配置，这通常是由于网络安全公司或执法机构的干预而发生的。

McAfee 威胁研究与响应总监 Abhishek Karnik 表示：“GitHub 不用于托管恶意软件本身，而只是用于托管指向机器人服务器的配置。”

正在说话解密Karnik 解释说，该恶意软件的部署者正在使用 GitHub 作为资源，将受害者引导至更新的服务器，这使得此次攻击与之前利用 GitHub 的案例有所区别。

其中包括 McAfee 在 2024 年发现的攻击媒介，其中恶意行为者插入将 Redline Stealer 恶意软件迁移到 GitHub 存储库，某事今年在 GitVenom 活动中再次出现.

“然而，在这种情况下，托管的不是恶意软件，而是管理恶意软件如何与其后端基础设施通信的配置，”Karnik 补充道。

与 GitVenom 活动一样，Astaroth 的最终目的是窃取可用于窃取受害者加密货币或从其银行账户转账的凭证。

卡尼克说：“我们没有关于它窃取了多少金钱或加密货币的数据，但它似乎非常普遍，尤其是在巴西。”

瞄准南美

看来阿斯塔罗斯主要针对的是南美洲地区，包括墨西哥、乌拉圭、阿根廷、巴拉圭、智利、玻利维亚、秘鲁、厄瓜多尔、哥伦比亚、委内瑞拉和巴拿马。

虽然该恶意软件也能针对葡萄牙和意大利，但其编写方式使其不会上传到美国或其他英语国家（如英国）的系统。

如果恶意软件检测到分析软件正在运行，它就会关闭其主机系统；而如果它检测到网络浏览器正在访问某些银行网站，它就会运行键盘记录功能。

这些包括 caixa.gov.br、safra.com.br、itau.com.br、bancooriginal.com.br、santandernet.com.br 和 btgpactual.com。

它还针对以下加密相关域名编写：etherscan.io、binance.com、bitcointrade.com.br、metamask.io、foxbit.com.br 和 localbitcoins.com。

面对此类威胁，迈克菲建议用户不要打开来自未知发件人的附件或链接，同时使用最新的防病毒软件和双因素身份验证。