Hacker stehlen nun mithilfe eines Banking-Trojaners namens Astarothdentauf GitHub. Dies wurde durch Untersuchungen des Cybersicherheitsunternehmens McAfee aufgedeckt. Laut McAfee nutzt der Trojaner GitHub-Repositories, sobald die Server des Unternehmens offline sind.
Den Forschern zufolge handelt es sich bei dem Banking-Trojaner Astaroth um einen Virus, der über Phishing- E-Mails verbreitet wird, in denen die Opfer aufgefordert werden, eine Windows-Datei (.lnk) herunterzuladen.
Nach dem Herunterladen der Datei durch das Opfer installiert sich Schadsoftware auf dem Rechner. Astaroth läuft im Hintergrund des Opfers und nutzt Keylogging, um Bank- unddentzu stehlen. Diesedentwerden über den Reverse-Proxy Ngrok (einen Vermittler zwischen Servern) an die Hacker gesendet.
Hacker nutzen den Astaroth-Trojaner, um Krypto-dentzu stehlen
Eine Besonderheit von Astaroth ist, dass es GitHub-Repositories nutzt, um seine Serverkonfiguration zu aktualisieren, sobald sein Command-and-Control-Server ausfällt. Dies geschieht üblicherweise durch das Eingreifen von Cybersicherheitsfirmen oder Strafverfolgungsbehörden.
„GitHub wird nicht zum Hosten der Malware selbst verwendet, sondern nur zum Hosten einer Konfiguration, die auf den Bot-Server verweist“, sagte Abhishek Karnik, Direktor für Bedrohungsforschung und -abwehr bei McAfee.
Karnik erklärte, dass die Verbreiter der Malware GitHub nutzen, um Opfer auf aktualisierte Server umzuleiten. Dies unterscheidet die Angriffe von früheren Fällen, in denen GitHub missbraucht wurde. Dazu gehört auch ein Angriffsvektor, den McAfee 2024 entdeckte: Hacker schleusten die Redline-Stealer-Malware in GitHub-Repositories ein – ein Vorgehen, das in diesem Jahr in der GitVenom-Kampagne wiederholt wurde.
„In diesem Fall wird jedoch keine Malware gehostet, sondern eine Konfiguration, die die Kommunikation der Malware mit ihrer Backend-Infrastruktur steuert“, fügte Karnik hinzu.
Wie bei der GitVenom-Kampagne ist das Ziel der Täter hinter Astaroth,dentzu stehlen, mit denen sie die digitalen Vermögenswerte ihrer Opfer entwenden oder Geld von deren Bankkonten abheben können. „Wir haben keine Daten darüber, wie viel Geld oder Kryptowährung gestohlen wurde, aber die Masche scheint sehr verbreitet zu sein, insbesondere in Brasilien“, sagte Karnik.
Forscher stellen die Verbreitung von Malware in Südamerika fest
Berichten zufolge wurde Astaroth hauptsächlich in südamerikanischen Ländern eingesetzt, darunter Mexiko, Uruguay, Panama, Kolumbien, Ecuador und Chile. Weitere Einsatzorte sind Peru, Venezuela, Paraguay und Argentinien.
Obwohl die Schadsoftware auch gegen Nutzer in Portugal und Italien eingesetzt werden kann, ist sie so programmiert, dass sie nicht auf Systeme in den Vereinigten Staaten oder anderen Ländern, in denen Englisch die Hauptsprache ist, wie beispielsweise England, hochgeladen wird.
Die Schadsoftware kann das Wirtssystem herunterfahren, sobald sie erkennt, dass Analysesoftware ausgeführt wird. Sie ist außerdem so konzipiert, dass sie Tastatureingaben aufzeichnet, wenn sie feststellt, dass ein Webbrowser bestimmte Bankwebseiten besucht. Dazu gehören safra.com.br, btgpactual.com, caixa.gov.br, santandernet.com.br, itau.com.br und bancooriginal.com.br. Darüber hinaus wurde sie entwickelt, um Krypto-Domains wie localbitcoins.com bitcoin bitcointrade.com.br bitcoin foxbit.com.br, etherscan.io und metamask.io anzugreifen.
Angesichts dieser Bedrohungen riet McAfee Nutzern dringend davon ab, Anhänge oder Links von unbekannten Absendern zu öffnen. Darüber hinaus empfahl das Unternehmen, stets aktuelle Antivirensoftware und Zwei-Faktor-Authentifizierung zu verwenden.
Kaspersky mahnte die Nutzer außerdem zur Wachsamkeit, insbesondere bei Aktivitäten auf Plattformen wie GitHub, wo Codes geteilt werden und die Plattform von Millionen von Entwicklern weltweit genutzt wird.
