Astaroth银行木马利用GitHub窃取加密货币凭证
根据某安全机构的研究,黑客正在部署一种银行木马,该木马在其服务器被关闭时会利用GitHub仓库。
这种被称为Astaroth的特洛伊木马病毒通过钓鱼邮件传播,诱使受害者下载一个Windows (.lnk)文件,从而将恶意软件安装到主机上。
Astaroth在受害者设备的后台运行,使用键盘记录来窃取银行和加密货币凭证,并通过Ngrok反向代理(服务器之间的中介)发送这些凭证。
其独特之处在于,Astaroth在其命令与控制服务器被关闭时,会使用GitHub仓库来更新其服务器配置。服务器关闭通常是由于某安全机构或执法机构的干预所致。
“GitHub并非用于托管恶意软件本身,而仅用于托管指向僵尸服务器的配置,”某安全机构威胁研究与响应总监表示。
在接受采访时,他解释说,恶意软件的部署者利用GitHub作为资源,将受害者引导至更新后的服务器,这使该漏洞区别于以往利用GitHub的实例。
这包括某安全机构在2024年发现的一种攻击媒介,其中攻击者将Redline Stealer恶意软件插入GitHub仓库,今年在GitVenom活动中也重复了这种做法。
“然而,在这种情况下,托管的不是恶意软件,而是一个管理恶意软件如何与其后端基础设施通信的配置,”他补充道。
与GitVenom活动一样,Astaroth的最终目的是窃取凭证,这些凭证可用于窃取受害者的加密货币或从其银行账户转出资金。
“我们没有关于它窃取了多少钱或加密货币的数据,但它似乎非常普遍,尤其是在巴西,”他说。
针对南美洲
Astaroth似乎主要针对南美地区,包括墨西哥、乌拉圭、阿根廷、巴拉圭、智利、玻利维亚、秘鲁、厄瓜多尔、哥伦比亚、委内瑞拉和巴拿马。
虽然它也能够针对葡萄牙和意大利,但该恶意软件的编写方式确保其不会上传到美国或其他英语国家(如英国)的系统。
如果检测到正在运行分析软件,该恶意软件会关闭其主机系统。同时,如果检测到网络浏览器正在访问某些银行网站,它会启动键盘记录功能。
这些网站包括 caixa.gov.br, safra.com.br, itau.com.br, bancooriginal.com.br, santandernet.com.br 和 btgpactual.com。
它还被编写为针对以下与加密货币相关的域名:etherscan.io, binance.com, bitcointrade.com.br, metamask.io, foxbit.com.br 和 localbitcoins.com。
面对此类威胁,某安全机构建议用户不要打开来自未知发件人的附件或链接,同时使用最新的防病毒软件和双重认证。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)或者 我的个人博客 https://blog.qife122.com/
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
