サイバーセキュリティの脅威:Astarothバンキングトロイの木馬
ハッカーたちは、サイバーセキュリティ企業McAfeeの研究によると、サーバーがダウンした際にGitHubリポジトリを利用するバンキングトロイの木馬を展開しています。このトロイの木馬はAstarothと呼ばれ、フィッシングメールを通じて被害者にWindows(.lnk)ファイルをダウンロードさせ、マルウェアをホストコンピュータにインストールします。
Astarothは被害者のデバイスのバックグラウンドで動作し、キーロギングを使用して銀行および暗号通貨の認証情報を盗み、Ngrokリバースプロキシ(サーバー間の仲介者)を使用してその認証情報を送信します。Astarothのユニークな特徴は、コマンド&コントロールサーバーがダウンした際に、GitHubリポジトリを使用してサーバー構成を更新することです。
「GitHubはマルウェア自体をホストするために使用されているのではなく、ボットサーバーを指し示す構成をホストするために使用されています」とMcAfeeの脅威研究および対応部門のディレクターであるAbhishek Karnikは述べています。
KarnikはDecryptに対して、マルウェアの展開者が被害者を更新されたサーバーに誘導するためのリソースとしてGitHubを利用していることを説明し、これが以前のGitHubが利用された事例と異なる点であると述べました。これには、2024年にMcAfeeが発見した攻撃ベクターが含まれ、悪意のある行為者がRedline StealerマルウェアをGitHubリポジトリに挿入した事例があり、今年もGitVenomキャンペーンで繰り返されています。
「しかし、この場合、ホストされているのはマルウェアではなく、マルウェアがバックエンドインフラストラクチャとどのように通信するかを管理する構成です」とKarnikは付け加えました。GitVenomキャンペーンと同様に、Astarothの最終目的は、被害者の暗号通貨を盗むためや銀行口座からの送金に使用できる認証情報を抽出することです。
「どれだけの金額や暗号通貨が盗まれたかのデータはありませんが、特にブラジルで非常に広まっているようです」とKarnikは述べています。
Astarothは主に南アメリカの地域をターゲットにしており、メキシコ、ウルグアイ、アルゼンチン、パラグアイ、チリ、ボリビア、ペルー、エクアドル、コロンビア、ベネズエラ、パナマを含んでいます。また、ポルトガルやイタリアをターゲットにすることも可能ですが、マルウェアはアメリカや他の英語圏の国(イギリスなど)にはアップロードされないように設計されています。
マルウェアは、分析ソフトウェアが動作していることを検出するとホストシステムをシャットダウンし、特定の銀行サイトを訪問しているウェブブラウザを検出するとキーロギング機能を実行するように設計されています。これには以下の銀行サイトが含まれます:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
また、以下の暗号関連ドメインをターゲットにするように書かれています:
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
このような脅威に直面して、McAfeeはユーザーに対して不明な送信者からの添付ファイルやリンクを開かないようにし、最新のウイルス対策ソフトウェアと二要素認証を使用することを推奨しています。
