Des pirates informatiques volent désormais des identifiantsdentsur GitHub grâce à un cheval de Troie bancaire nommé Astaroth. Cette découverte a été révélée suite à une enquête menée par la société de cybersécurité McAfee. Selon cette dernière, le cheval de Troie exploite les dépôts GitHub lorsque ses serveurs sont hors service.
Selon les chercheurs, le cheval de Troie bancaire Astaroth est un virus propagé via d'hameçonnage qui invitent les victimes à télécharger un fichier Windows (.lnk).
Une fois le fichier téléchargé, le logiciel malveillant Astaroth s'installe sur l'ordinateur de la victime. Ce logiciel s'exécute en arrière-plan et utilise l'enregistrement des frappes au clavier pour dérober lesdentbancaires et de cryptomonnaies. Cesdentsont ensuite transmis aux pirates via le proxy inverse Ngrok (un intermédiaire entre les serveurs).
Des pirates informatiques utilisent le cheval de Troie Astaroth pour voler des crypto-dent
L'une des particularités d'Astaroth est son utilisation des dépôts GitHub pour mettre à jour la configuration de ses serveurs dès que son serveur de commande et de contrôle est hors service. Ce type d'incident survient généralement suite à l'intervention d'entreprises de cybersécurité ou des forces de l'ordre.
« GitHub n'est pas utilisé pour héberger le logiciel malveillant lui-même, mais uniquement pour héberger une configuration qui pointe vers le serveur du bot », a déclaré Abhishek Karnik, directeur de la recherche et de la réponse aux menaces chez McAfee.
Karnik a expliqué que les auteurs du logiciel malveillant utilisent GitHub comme ressource pour rediriger les victimes vers des serveurs mis à jour, ce qui distingue ces attaques des précédentes exploitations de GitHub. On peut notamment citer une faille de sécurité découverte par McAfee en 2024, où les pirates avaient inséré le logiciel malveillant Redline Stealer dans des dépôts GitHub, une méthode qui a été réutilisée cette année dans le cadre de la campagne GitVenom.
« Toutefois, dans ce cas précis, ce n'est pas un logiciel malveillant qui est hébergé, mais une configuration qui gère la manière dont ce logiciel malveillant communique avec son infrastructure dorsale », a ajouté Karnik.
Comme pour la campagne GitVenom, l'objectif des cybercriminels à l'origine d'Astaroth est d'exfiltrer desdentpermettant de voler les actifs numériques de leurs victimes ou d'effectuer des virements depuis leurs comptes bancaires. « Nous ne disposons pas de données sur les montants d'argent ou de cryptomonnaies volés, mais ce type d'attaque semble très répandu, notamment au Brésil », a déclaré Karnik.
Les chercheurs constatent la prévalence des logiciels malveillants en Amérique du Sud
D'après les informations disponibles, Astaroth aurait été principalement utilisé en Amérique du Sud, notamment au Mexique, en Uruguay, au Panama, en Colombie, en Équateur et au Chili. Son utilisation a également été signalée au Pérou, au Venezuela, au Paraguay et en Argentine.
Bien que ce logiciel malveillant puisse également être utilisé pour cibler des utilisateurs au Portugal et en Italie, il a été codé de telle sorte qu'il n'est pas téléchargé sur des systèmes aux États-Unis ou dans d'autres pays où l'anglais est la langue principale, comme l'Angleterre.
Ce logiciel malveillant est capable de paralyser le système hôte s'il détecte l'exécution d'un logiciel d'analyse. Il est également conçu pour enregistrer les frappes au clavier lorsqu'il détecte la visite de certains sites web bancaires, notamment safra.com.br, btgpactual.com, caixa.gov.br, santandernet.com.br, itau.com.br et bancooriginal.com.br. Il cible aussi les domaines de cryptomonnaies tels que local bitcoin s.com, bitcoin trade.com.br, foxbit.com.br, etherscan.io et metamask.io.
Face à ces menaces, McAfee a exhorté les utilisateurs à ne pas ouvrir les pièces jointes ni les liens provenant d'expéditeurs inconnus. L'entreprise leur a également conseillé de s'assurer d'utiliser un logiciel antivirus à jour et l'authentification à deux facteurs.
Kaspersky a également exhorté les utilisateurs à faire preuve de vigilance, notamment lorsqu'ils effectuent des activités sur des plateformes comme GitHub, où les codes sont partagés et où la plateforme est utilisée par des millions de développeurs dans le monde entier.
