Astaroth 银行木马利用 GitHub 窃取加密货币凭证

黑客利用 Astaroth 银行木马进行攻击

根据网络安全公司 McAfee 的研究，黑客正在部署一种名为 Astaroth 的银行木马，该木马利用 GitHub 存储库来应对其服务器被关闭的情况。Astaroth 通过钓鱼邮件传播，诱使受害者下载一个 Windows (.lnk) 文件，从而在其计算机上安装恶意软件。该木马在受害者设备的后台运行，使用键盘记录功能窃取银行和加密货币凭证，并通过 Ngrok 反向代理（作为服务器之间的中介）发送这些凭证。

Astaroth 的独特之处

Astaroth 的独特之处在于，当其指挥与控制服务器被关闭时，它会利用 GitHub 存储库更新其服务器配置，这种情况通常是由于网络安全公司或执法机构的干预所致。McAfee 威胁研究与响应总监 Abhishek Karnik 表示：

“GitHub 并不是用来托管恶意软件本身，而只是用来托管指向机器人服务器的配置。”

在接受 Decrypt 采访时，Karnik 解释说，恶意软件的部署者利用 GitHub 作为资源，引导受害者访问更新的服务器，这使得该攻击与之前利用 GitHub 的实例有所不同。这包括 McAfee 在 2024 年发现的一种攻击向量，其中不法分子将 Redline Stealer 恶意软件插入 GitHub 存储库，而今年在 GitVenom 活动中也重复了这一行为。

Karnik 补充道：

“然而，在这种情况下，托管的不是恶意软件，而是管理恶意软件与其后端基础设施通信的配置。”

Astaroth 的目标与影响

与 GitVenom 活动一样，Astaroth 的最终目的是提取凭证，以便窃取受害者的加密货币或从其银行账户中转账。Karnik 表示：

“我们没有关于它窃取了多少资金或加密货币的数据，但它似乎非常普遍，尤其是在巴西。”

Astaroth 主要针对南美地区，包括墨西哥、乌拉圭、阿根廷、巴拉圭、智利、玻利维亚、秘鲁、厄瓜多尔、哥伦比亚、委内瑞拉和巴拿马。虽然它也能够针对葡萄牙和意大利，但该恶意软件的编写方式使其不会上传到美国或其他英语国家（如英国）的系统。

如果检测到分析软件正在运行，该恶意软件会关闭其宿主系统；而如果检测到某些银行网站的网络浏览器正在访问，它则会启动键盘记录功能。这些网站包括 caixa.gov.br、safra.com.br、itau.com.br、bancooriginal.com.br、santandernet.com.br 和 btgpactual.com.br。它还被编写为针对以下与加密货币相关的域名：etherscan.io、binance.com、bitcointrade.com.br、metamask.io、foxbit.com.br 和 localbitcoins.com。