يستغل قراصنة الإنترنت ثغرة Astaroth المصرفية لسرقة بياناتdentالعملات المشفرة على منصة GitHub

يستغلّ قراصنة الإنترنت حاليًا ثغرة أمنية في منصة GitHub لسرقة بياناتdentالعملات الرقمية، وذلك باستخدام حصان طروادة مصرفي يُدعى أستاروث. وقد كُشف عن هذا التطور بعد بحث أجرته شركة الأمن السيبراني مكافي، التي ادّعت أن حصان الطروادة هذا يستخدم مستودعات GitHub كلما تعطلت خوادمها.

ووفقًا للباحثين، فإن حصان طروادة المصرفي أستاروث هو فيروس ينتشر عبر التصيدية التي تدعو الضحايا إلى تنزيل ملف ويندوز (.lnk).

بعد أن يقوم الضحية بتنزيل الملف، يقوم بتثبيت برمجية خبيثة على جهاز الكمبيوتر الخاص به. يعمل برنامج أستاروث في خلفية جهاز الضحية، مستخدمًا تقنية تسجيل ضغطات المفاتيح لسرقة بيانات الاعتماد المصرفية وبياناتdentالعملات الرقمية. تُرسل هذهdentإلى المخترقين عبر خادم Ngrok الوكيل العكسي (وهو وسيط بين الخوادم).

يستخدم المتسللون حصان طروادة أستاروث لسرقةdentاعتماد العملات المشفرة

من بين الميزات الفريدة التي يتميز بها أستاروث استخدامه لمستودعات GitHub لتحديث إعدادات خادمه كلما تعطل خادم التحكم والسيطرة الخاص به. ويحدث هذا عادةً نتيجة تدخل شركات الأمن السيبراني أو وكالات إنفاذ القانون.

"لا يتم استخدام GitHub لاستضافة البرامج الضارة نفسها، ولكن فقط لاستضافة تكوين يشير إلى خادم الروبوت"، كما قال أبيشيك كارنيك، مدير قسم أبحاث التهديدات والاستجابة في McAfee.

أوضح كارنيك أن مُستخدمي البرمجيات الخبيثة يستغلون منصة GitHub لتوجيه الضحايا إلى خوادم مُحدّثة، مما يُميّز هذه الثغرة عن الحالات السابقة التي استُغلت فيها GitHub. ويشمل ذلك ثغرة أمنية اكتشفتها شركة McAfee عام 2024، حيث قام المخترقون بزرع برمجية Redline Stealer الخبيثة في مستودعات GitHub، وهو ما تكرر هذا العام في حملة GitVenom.

وأضاف كارنيك: "لكن في هذه الحالة، لا يتم استضافة البرامج الضارة، بل يتم استضافة تكوين يدير كيفية تواصل البرامج الضارة مع بنيتها التحتية الخلفية".

كما هو الحال مع حملة GitVenom، يهدف منفذو حملة Astaroth إلى سرقة بياناتdentالتي يمكن استخدامها لسرقة الأصول الرقمية لضحاياهم أو لتحويل الأموال من حساباتهم المصرفية. وقال كارنيك: "لا نملك بيانات حول حجم الأموال أو العملات الرقمية التي سرقتها، لكن يبدو أنها منتشرة على نطاق واسع، خاصة في البرازيل".

يشير الباحثون إلى انتشار البرامج الضارة في أمريكا الجنوبية

تشير التقارير إلى أن أستاروث استُخدم بشكل أساسي في دول أمريكا الجنوبية، بما في ذلك المكسيك وأوروغواي وبنما وكولومبيا والإكوادور وتشيلي. كما استُخدم أيضاً في بيرو وفنزويلا وباراغواي والأرجنتين.

على الرغم من إمكانية استخدام البرامج الضارة لاستهداف المستخدمين في البرتغال وإيطاليا، إلا أنها تمت برمجتها بطريقة لا تسمح بتحميلها إلى الأنظمة في الولايات المتحدة أو غيرها من البلدان التي تعتبر فيها اللغة الإنجليزية هي اللغة الرئيسية، مثل إنجلترا.

يستطيع هذا البرنامج الخبيث تعطيل نظام التشغيل المضيف إذا اكتشف تشغيل برنامج تحليل، كما أنه مصمم لتسجيل ضغطات المفاتيح إذا اكتشف زيارة متصفح الويب لمواقع مصرفية محددة، مثل safra.com.br وbtgpactual.com وcaixa.gov.br وsantandernet.com.br وitau.com.br وbancooriginal.com.br. وقد صُمم أيضاً لاستهداف مواقع العملات الرقمية مثل localbitcoinbitcoinbitcoin bitcoinbitcoinbitcoinbitcoin bitcoinbitcointrade.com.br وfoxbit.com.br وetherscan.io وmetamask.io.

في مواجهة هذه التهديدات، حثت شركة مكافي المستخدمين على عدم فتح المرفقات أو الروابط من مرسلين مجهولين. كما نصحتهم بالتأكد من استخدامهم لبرامج مكافحة فيروسات محدّثة وتفعيل خاصية المصادقة الثنائية.

كما حثت كاسبرسكي المستخدمين على توخي الحذر، خاصة عند القيام بأنشطة على منصات مثل GitHub، حيث يتم مشاركة الأكواد ويستخدم المنصة ملايين المطورين حول العالم.