Peretasan Menggunakan Trojan Perbankan Astaroth
Para peretas kini menggunakan Trojan perbankan yang memanfaatkan repositori GitHub setiap kali servernya dimatikan, menurut penelitian dari perusahaan keamanan siber McAfee. Trojan yang dikenal dengan nama Astaroth ini menyebar melalui email phishing yang mengundang korban untuk mengunduh file Windows (.lnk), yang kemudian menginstal malware di komputer korban. Astaroth beroperasi di latar belakang perangkat korban, menggunakan teknik keylogging untuk mencuri kredensial perbankan dan cryptocurrency, serta mengirimkan informasi tersebut melalui Ngrok reverse proxy sebagai perantara antara server.
Fitur Unik Astaroth
Fitur unik dari Astaroth adalah kemampuannya untuk menggunakan repositori GitHub dalam memperbarui konfigurasi servernya setiap kali server komando dan kontrolnya dimatikan, yang sering terjadi akibat intervensi dari perusahaan keamanan siber atau lembaga penegak hukum. “GitHub tidak digunakan untuk menghosting malware itu sendiri, tetapi hanya untuk menyimpan konfigurasi yang menunjuk ke server bot,” jelas Abhishek Karnik, Direktur Penelitian dan Respons Ancaman di McAfee.
Dalam wawancaranya dengan Decrypt, Karnik menjelaskan bahwa para penyebar malware menggunakan GitHub sebagai sumber untuk mengarahkan korban ke server yang diperbarui, yang membedakan eksploitasi ini dari contoh sebelumnya di mana GitHub telah dimanfaatkan.
Target dan Dampak Astaroth
Salah satu contohnya adalah vektor serangan yang ditemukan oleh McAfee pada tahun 2024, di mana aktor jahat menyisipkan malware Redline Stealer ke dalam repositori GitHub, yang juga terjadi tahun ini dalam kampanye GitVenom. “Namun, dalam kasus ini, bukan malware yang dihosting, tetapi konfigurasi yang mengelola bagaimana malware berkomunikasi dengan infrastruktur backend-nya,” tambah Karnik.
Seperti pada kampanye GitVenom, tujuan akhir Astaroth adalah untuk mengekstrak kredensial yang dapat digunakan untuk mencuri cryptocurrency korban atau melakukan transfer dari rekening bank mereka. “Kami tidak memiliki data tentang berapa banyak uang atau cryptocurrency yang telah dicuri, tetapi tampaknya sangat umum, terutama di Brasil,” kata Karnik. Astaroth tampaknya terutama menargetkan wilayah Amerika Selatan, termasuk Meksiko, Uruguay, Argentina, Paraguay, Chili, Bolivia, Peru, Ekuador, Kolombia, Venezuela, dan Panama. Meskipun juga mampu menargetkan Portugal dan Italia, malware ini dirancang sedemikian rupa sehingga tidak diunggah ke sistem di Amerika Serikat atau negara berbahasa Inggris lainnya (seperti Inggris).
Strategi Malware dan Perlindungan
Malware ini akan mematikan sistem hostnya jika mendeteksi bahwa perangkat lunak analisis sedang dijalankan, sementara dirancang untuk menjalankan fungsi keylogging jika mendeteksi bahwa browser web mengunjungi situs perbankan tertentu. Ini termasuk situs-situs seperti:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
Selain itu, malware ini juga ditargetkan pada domain terkait cryptocurrency berikut:
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
Menghadapi ancaman semacam ini, McAfee menyarankan agar pengguna tidak membuka lampiran atau tautan dari pengirim yang tidak dikenal, serta menggunakan perangkat lunak antivirus terbaru dan mengaktifkan otentikasi dua faktor.
