Gli hacker stanno ora rubandodentcrittografiche su GitHub con un trojan bancario chiamato Astaroth. La scoperta è stata rivelata dopo una ricerca condotta dalla società di sicurezza informatica McAfee. L'azienda ha affermato che il trojan utilizza i repository GitHub ogni volta che i suoi server vengono disattivati.
Secondo i ricercatori, il trojan bancario Astaroth è un virus diffuso tramite di phishing che invitano le vittime a scaricare un file Windows (.lnk).
Dopo che la vittima scarica il file, questo installa un malware sul computer host. Astaroth viene eseguito in background sul dispositivo della vittima, utilizzando il keylogging per rubaredentbancarie e crittografiche. Talidentvengono inviate agli hacker tramite il proxy inverso Ngrok (un intermediario tra i server).
Gli hacker usano il Trojan Astaroth per rubare ledentcrittografiche
Una delle caratteristiche uniche di Astaroth è che utilizza i repository GitHub per aggiornare la configurazione del server ogni volta che il server di comando e controllo viene disattivato. Questo accade solitamente a causa dell'intervento di società di sicurezza informatica o delle forze dell'ordine.
"GitHub non viene utilizzato per ospitare il malware stesso, ma solo per ospitare una configurazione che punta al server del bot", ha affermato Abhishek Karnik, Direttore per la ricerca e la risposta alle minacce di McAfee.
Karnik ha spiegato che gli autori del malware utilizzano GitHub come risorsa per indirizzare le vittime verso server aggiornati, il che distingue gli exploit dai precedenti casi in cui GitHub è stato sfruttato. Tra questi, un vettore di attacco scoperto da McAfee nel 2024, in cui gli hacker hanno inserito il malware Redline Stealer nei repository GitHub, un'azione ripetuta quest'anno nella campagna GitVenom.
"Tuttavia, in questo caso, non è il malware ad essere ospitato, bensì una configurazione che gestisce il modo in cui il malware comunica con la sua infrastruttura back-end", ha aggiunto Karnik.
Come per la campagna GitVenom, l'obiettivo dei criminali informatici dietro Astaroth è quello di esfiltraredentche possono essere utilizzate per rubare risorse digitali delle vittime o per effettuare trasferimenti dai loro conti bancari. "Non abbiamo dati su quanti soldi o criptovalute siano stati rubati, ma sembra essere un fenomeno molto diffuso, soprattutto in Brasile", ha affermato Karnik.
I ricercatori notano la prevalenza del malware in Sud America
Secondo quanto riportato, Astaroth sembra essere stato utilizzato principalmente nei paesi sudamericani, tra cui Messico, Uruguay, Panama, Colombia, Ecuador e Cile. Altri luoghi in cui è stato utilizzato sono Perù, Venezuela, Paraguay e Argentina.
Sebbene il malware possa essere utilizzato anche per colpire utenti in Portogallo e Italia, è stato codificato in modo tale da non essere caricato su sistemi negli Stati Uniti o in altri paesi in cui l'inglese è la lingua principale, come l'Inghilterra.
Il malware è in grado di arrestare il sistema host se rileva l'utilizzo di un software di analisi, mentre è progettato per eseguire funzioni di keylogging se rileva che un browser web sta visitando determinati siti web bancari. Tra questi, safra.com.br, btgpactual.com, caixa.gov.br, santandernet.com.br, itau.com.br e bancooriginal.com.br. È stato anche scritto per colpire domini crittografici come localbitcoin.com bitcoin bitcointrade.com.br bitcoin foxbit.com.br, etherscan.io e metamask.io.
Di fronte a tali minacce, McAfee ha invitato gli utenti a non aprire allegati o link provenienti da mittenti sconosciuti. Inoltre, ha consigliato loro di assicurarsi di utilizzare un software antivirus aggiornato e di utilizzare l'autenticazione a due fattori.
Kaspersky ha inoltre invitato gli utenti a prestare attenzione, soprattutto quando svolgono attività su piattaforme come GitHub, dove i codici vengono condivisi e la piattaforma è utilizzata da milioni di sviluppatori in tutto il mondo.
