Astaroth Banking Trojan
Ayon sa pananaliksik mula sa cybersecurity firm na McAfee, ang mga hacker ay nag-de-deploy ng isang banking Trojan na tinatawag na Astaroth, na gumagamit ng mga repository ng GitHub tuwing ang kanilang mga server ay nadedetect. Ang Trojan virus na ito ay kumakalat sa pamamagitan ng mga phishing email na nag-aanyaya sa mga biktima na i-download ang isang Windows (.lnk) file, na nag-i-install ng malware sa kanilang computer.
Paano Gumagana ang Astaroth
Ang Astaroth ay tumatakbo sa background ng device ng biktima at gumagamit ng keylogging upang magnakaw ng banking at crypto credentials. Ang mga nakuhang credentials ay ipinapadala gamit ang Ngrok reverse proxy, na nagsisilbing tagapamagitan sa pagitan ng mga server. Isang natatanging katangian ng Astaroth ay ang paggamit nito ng mga repository ng GitHub upang i-update ang configuration ng server nito tuwing ang command-and-control server ay nadedetect, na karaniwang nangyayari dahil sa interbensyon ng mga cybersecurity firms o mga ahensya ng batas.
“Ang GitHub ay hindi ginagamit upang i-host ang malware mismo, kundi upang i-host lamang ang isang configuration na tumuturo sa bot server,” sabi ni Abhishek Karnik, Director para sa Threat Research at Response sa McAfee.
Sa pakikipag-usap sa Decrypt, ipinaliwanag ni Karnik na ang mga nag-de-deploy ng malware ay gumagamit ng GitHub bilang isang mapagkukunan upang i-direkta ang mga biktima sa mga updated server, na nagtatangi sa exploit na ito mula sa mga nakaraang pagkakataon kung saan ang GitHub ay ginamit.
Mga Nakaraang Kampanya
Kasama dito ang isang attack vector na natuklasan ng McAfee noong 2024, kung saan ang mga masamang aktor ay nagpasok ng Redline Stealer malware sa mga repository ng GitHub, isang bagay na naulit ngayong taon sa GitVenom campaign. “Gayunpaman, sa kasong ito, hindi malware ang naka-host kundi isang configuration na namamahala kung paano nakikipag-ugnayan ang malware sa backend infrastructure nito,” dagdag ni Karnik.
Target ng Astaroth
Tulad ng sa GitVenom campaign, ang pangunahing layunin ng Astaroth ay ang mag-exfiltrate ng mga credentials na maaaring gamitin upang magnakaw ng crypto ng biktima o upang gumawa ng mga transfer mula sa kanilang mga bank account. “Wala kaming data tungkol sa kung gaano karaming pera o crypto ang ninakaw nito, ngunit tila ito ay napakalaganap, lalo na sa Brazil,” sabi ni Karnik.
Mukhang ang Astaroth ay pangunahing nakatuon sa mga teritoryo sa Timog Amerika, kabilang ang Mexico, Uruguay, Argentina, Paraguay, Chile, Bolivia, Peru, Ecuador, Colombia, Venezuela, at Panama. Habang ito ay may kakayahang tumarget sa Portugal at Italya, ang malware ay isinulat upang hindi ma-upload sa mga sistema sa Estados Unidos o iba pang mga bansang nagsasalita ng Ingles, tulad ng England.
Proteksyon Laban sa Astaroth
Ang malware ay nagsasara ng host system nito kung madedetect na mayroong software na nag-aanalisa, habang ito ay dinisenyo upang patakbuhin ang mga keylogging functions kung madedetect na ang isang web browser ay bumibisita sa ilang mga banking sites. Kasama dito ang:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
Ito rin ay isinulat upang tumarget sa mga sumusunod na crypto-related domains:
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
Sa harap ng mga ganitong banta, pinapayuhan ng McAfee ang mga gumagamit na huwag magbukas ng mga attachment o link mula sa mga hindi kilalang nagpadala, habang gumagamit din ng up-to-date na antivirus software at two-factor authentication.
