Giới thiệu về Trojan Astaroth
Các hacker đang triển khai một Trojan ngân hàng lợi dụng các kho GitHub mỗi khi máy chủ của nó bị tắt, theo nghiên cứu từ công ty an ninh mạng McAfee. Được gọi là Astaroth, virus Trojan này được phát tán qua các email lừa đảo, mời nạn nhân tải xuống một tệp Windows (.lnk), tệp này cài đặt phần mềm độc hại trên máy tính của nạn nhân.
Chức năng và cách thức hoạt động
Astaroth chạy ngầm trên thiết bị của nạn nhân, sử dụng keylogging để đánh cắp thông tin tài chính và thông tin tiền điện tử, sau đó gửi những thông tin này qua Ngrok reverse proxy (một trung gian giữa các máy chủ). Đặc điểm độc đáo của Astaroth là nó sử dụng các kho GitHub để cập nhật cấu hình máy chủ mỗi khi máy chủ điều khiển và kiểm soát của nó bị tắt, điều này thường xảy ra do sự can thiệp từ các công ty an ninh mạng hoặc các cơ quan thực thi pháp luật.
“GitHub không được sử dụng để lưu trữ phần mềm độc hại mà chỉ để lưu trữ một cấu hình chỉ đến máy chủ bot,” Abhishek Karnik, Giám đốc Nghiên cứu và Phản ứng Đe dọa tại McAfee cho biết.
Trong cuộc trò chuyện với Decrypt, Karnik giải thích rằng những người triển khai phần mềm độc hại đang sử dụng GitHub như một nguồn tài nguyên để hướng dẫn nạn nhân đến các máy chủ được cập nhật, điều này phân biệt khai thác này với các trường hợp trước đó mà GitHub đã bị lợi dụng. Điều này bao gồm một vector tấn công được McAfee phát hiện vào năm 2024, trong đó các tác nhân xấu đã chèn phần mềm độc hại Redline Stealer vào các kho GitHub, điều này đã được lặp lại trong năm nay trong chiến dịch GitVenom.
“Tuy nhiên, trong trường hợp này, không phải là phần mềm độc hại được lưu trữ mà là một cấu hình quản lý cách mà phần mềm độc hại giao tiếp với cơ sở hạ tầng phía sau của nó,” Karnik bổ sung.
Mục tiêu và khu vực nhắm đến
Giống như chiến dịch GitVenom, mục đích cuối cùng của Astaroth là đánh cắp thông tin có thể được sử dụng để lấy cắp tiền điện tử của nạn nhân hoặc thực hiện chuyển khoản ra khỏi tài khoản ngân hàng của họ. Karnik cho biết: “Chúng tôi không có dữ liệu về số tiền hoặc tiền điện tử mà nó đã đánh cắp, nhưng có vẻ như nó rất phổ biến, đặc biệt là ở Brazil.”
Có vẻ như Astaroth chủ yếu nhắm đến các lãnh thổ Nam Mỹ, bao gồm Mexico, Uruguay, Argentina, Paraguay, Chile, Bolivia, Peru, Ecuador, Colombia, Venezuela và Panama. Mặc dù nó cũng có khả năng nhắm đến Bồ Đào Nha và Ý, phần mềm độc hại được viết sao cho không được tải lên các hệ thống ở Hoa Kỳ hoặc các quốc gia nói tiếng Anh khác (như Anh).
Biện pháp phòng ngừa
Phần mềm độc hại sẽ tắt hệ thống chủ nếu nó phát hiện rằng phần mềm phân tích đang hoạt động, trong khi nó được thiết kế để chạy các chức năng keylogging nếu nó phát hiện rằng một trình duyệt web đang truy cập vào một số trang ngân hàng nhất định. Những trang này bao gồm:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
Nó cũng đã được viết để nhắm đến các miền liên quan đến tiền điện tử như:
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
Đối mặt với những mối đe dọa như vậy, McAfee khuyên người dùng không mở các tệp đính kèm hoặc liên kết từ những người gửi không rõ danh tính, đồng thời sử dụng phần mềm diệt virus cập nhật và xác thực hai yếu tố.
