การแพร่ระบาดของ Banking Trojan Astaroth
แฮกเกอร์กำลังใช้งาน Banking Trojan ที่ใช้ GitHub repositories เมื่อเซิร์ฟเวอร์ของมันถูกปิด ตามการวิจัยจากบริษัทความปลอดภัยไซเบอร์ McAfee โดย Trojan ที่เรียกว่า Astaroth นี้ถูกแพร่กระจายผ่านอีเมลฟิชชิ่งที่เชิญชวนเหยื่อให้ดาวน์โหลดไฟล์ Windows (.lnk) ซึ่งติดตั้งมัลแวร์ลงในคอมพิวเตอร์ของเหยื่อ
การทำงานของ Astaroth
Astaroth ทำงานอยู่เบื้องหลังอุปกรณ์ของเหยื่อ โดยใช้การบันทึกแป้นพิมพ์เพื่อขโมยข้อมูลประจำตัวทางการเงินและคริปโต และส่งข้อมูลเหล่านั้นโดยใช้ Ngrok reverse proxy (เป็นตัวกลางระหว่างเซิร์ฟเวอร์) คุณสมบัติที่โดดเด่นของ Astaroth คือการใช้ GitHub repositories ในการอัปเดตการกำหนดค่าของเซิร์ฟเวอร์เมื่อเซิร์ฟเวอร์ควบคุมของมันถูกปิด ซึ่งมักเกิดขึ้นจากการแทรกแซงของบริษัทความปลอดภัยไซเบอร์หรือหน่วยงานบังคับใช้กฎหมาย
“GitHub ไม่ได้ถูกใช้เพื่อโฮสต์มัลแวร์เอง แต่ใช้เพื่อโฮสต์การกำหนดค่าที่ชี้ไปยังเซิร์ฟเวอร์บอท” อภิชิต การนิค ผู้จัดการฝ่ายวิจัยและตอบสนองต่อภัยคุกคามที่ McAfee กล่าวเมื่อพูดคุยกับ Decrypt
การโจมตีที่แตกต่าง
การอธิบายของการใช้งาน GitHub เป็นแหล่งข้อมูลเพื่อชี้นำเหยื่อไปยังเซิร์ฟเวอร์ที่อัปเดต ซึ่งทำให้การโจมตีนี้แตกต่างจากกรณีก่อนหน้านี้ที่ GitHub ถูกนำมาใช้ ซึ่งรวมถึงเวกเตอร์การโจมตีที่ค้นพบโดย McAfee ในปี 2024 ซึ่งผู้ไม่หวังดีได้แทรกมัลแวร์ Redline Stealer ลงใน GitHub repositories ซึ่งได้ถูกทำซ้ำในปีนี้ในแคมเปญ GitVenom
“อย่างไรก็ตาม ในกรณีนี้ ไม่ใช่มัลแวร์ที่ถูกโฮสต์ แต่เป็นการกำหนดค่าที่จัดการวิธีการที่มัลแวร์สื่อสารกับโครงสร้างพื้นฐานด้านหลังของมัน” การนิค กล่าว
เป้าหมายของ Astaroth
เป้าหมายสุดท้ายของ Astaroth คือการขโมยข้อมูลประจำตัวที่สามารถใช้ในการขโมยคริปโตของเหยื่อหรือทำการโอนเงินออกจากบัญชีธนาคารของพวกเขา การนิค กล่าวเพิ่มเติมว่า “เรายังไม่มีข้อมูลเกี่ยวกับจำนวนเงินหรือคริปโตที่มันขโมยไป แต่ดูเหมือนว่าจะมีการแพร่หลายมาก โดยเฉพาะในบราซิล”
ดูเหมือนว่า Astaroth จะมุ่งเป้าไปที่ดินแดนในอเมริกาใต้เป็นหลัก รวมถึงเม็กซิโก อุรุกวัย อาร์เจนตินา ปารากวัย ชิลี โบลิเวีย เปรู เอกวาดอร์ โคลอมเบีย เวเนซุเอลา และปานามา ขณะที่มันยังสามารถมุ่งเป้าไปที่โปรตุเกสและอิตาลีได้
การป้องกันจากภัยคุกคาม
มัลแวร์ถูกเขียนขึ้นเพื่อไม่ให้ถูกอัปโหลดไปยังระบบในสหรัฐอเมริกาหรือประเทศที่พูดภาษาอังกฤษอื่น ๆ (เช่น อังกฤษ) มัลแวร์จะปิดระบบโฮสต์ของมันหากตรวจพบว่ามีการใช้งานซอฟต์แวร์วิเคราะห์ ขณะที่มันถูกออกแบบมาให้ทำงานฟังก์ชันการบันทึกแป้นพิมพ์หากตรวจพบว่าเว็บเบราว์เซอร์กำลังเยี่ยมชมเว็บไซต์ธนาคารบางแห่ง ซึ่งรวมถึง caixa.gov.br, safra.com.br, itau.com.br, bancooriginal.com.br, santandernet.com และ btgpactual.com
มันยังถูกเขียนขึ้นเพื่อมุ่งเป้าไปที่โดเมนที่เกี่ยวข้องกับคริปโตต่อไปนี้: etherscan.io, binance.com, bitcointrade.com.br, metamask.io, foxbit.com.br และ localbitcoins.com
ในการเผชิญกับภัยคุกคามดังกล่าว McAfee แนะนำให้ผู้ใช้ไม่เปิดไฟล์แนบหรือลิงก์จากผู้ส่งที่ไม่รู้จัก พร้อมทั้งใช้ซอฟต์แวร์ป้องกันไวรัสที่ทันสมัยและการยืนยันตัวตนแบบสองขั้นตอน
