ハッカーはAstarothバンキング型トロイの木馬を使ってGitHub上の暗号dent情報を盗んでいる

ハッカーは現在、GitHub上の仮想通貨情報を「Astaroth」と呼ばれるバンキング型dentを使って盗んでいる。この開発は、サイバーセキュリティ企業マカフィーの調査によって明らかになった。マカフィーによると、このトロイの木馬はサーバーがダウンするたびにGitHubのリポジトリを利用するという。.

研究者によると、Astaroth バンキング型トロイの木馬は、被害者に Windows (.lnk) ファイルをダウンロードさせるフィッシングメールを通じて拡散されるウイルスです。

被害者がファイルをダウンロードすると、ホストコンピュータにマルウェアがインストールされます。Astarothは被害者のデバイスのバックグラウンドで実行され、キーロギングを利用して銀行や暗号通貨のdent情報を盗みます。盗まれたdent情報は、Ngrokリバースプロキシ（サーバー間の仲介役）を介してハッカーに送信されます。.

ハッカーはAstarothトロイの木馬を使って暗号資産のdent情報を盗む

Astaroth の特徴の一つは、コマンド＆コントロールサーバーがダウンするたびに、GitHub リポジトリを使用してサーバー構成を更新することです。これは通常、サイバーセキュリティ企業や法執行機関の介入によって発生します。.

「GitHubはマルウェア自体をホストするために使われるのではなく、ボットサーバーを指す設定をホストするために使われるだけです」と、 は述べた 。

カルニック氏は、マルウェアの展開者がGitHubをリソースとして利用し、被害者を更新されたサーバーに誘導していると説明した。これは、GitHubが悪用された過去の事例とは異なる点である。これには、2024年にMcAfeeが発見した攻撃手法も含まれる。この手法では、ハッカーがRedline StealerマルウェアをGitHubリポジトリに挿入しており、今年発生したGitVenomキャンペーンでも同様の手口が繰り返されている。

「しかし、今回のケースでは、ホストされているのはマルウェアではなく、マルウェアがバックエンドのインフラストラクチャと通信する方法を管理する構成です」とカルニック氏は付け加えた。.

GitVenomキャンペーンと同様に、Astarothの背後にいる犯罪者の目的は、被害者のデジタル資産を盗んだり、銀行口座から送金したりするために使用できるdent情報を盗み出すことです。「どれだけの金額や暗号資産が盗まれたかについてのデータはありませんが、特にブラジルでは非常に蔓延しているようです」とKarnik氏は述べています。.

研究者らは南米におけるマルウェアの蔓延を指摘

報道によると、アスタロトは主にメキシコ、ウルグアイ、パナマ、コロンビア、エクアドル、チリなどの南米諸国で使用されているようです。その他、ペルー、ベネズエラ、パラグアイ、アルゼンチンでも使用されています。.

このマルウェアはポルトガルやイタリアのユーザーをターゲットにすることも可能だが、米国やイギリスなど英語が主要言語である他の国のシステムにアップロードされないような方法でコード化されている。.

このマルウェアは、解析ソフトウェアが動作していることを検知するとホストシステムをシャットダウンする機能を備えており、また、ウェブブラウザが特定の銀行ウェブサイトにアクセスしていることを検知するとキーロギング機能を実行するように設計されています。これらのウェブサイトには、safra.com.br、btgpactual.com、caixa.gov.br、santandernet.com.br、 itau.com.brなどの仮想通貨ドメインも標的とするように作成されていますbitcoin、 bitcointrade.com.br、foxbit.com.br、etherscan.io、metamask.io

このような脅威に直面し、マカフィーはユーザーに対し、不明な送信者からの添付ファイルやリンクを開かないよう強く呼びかけています。さらに、最新のウイルス対策ソフトウェアと二要素認証を使用するよう勧告しています。.

カスペルスキーはまた、コードが共有され、世界中の何百万人もの開発者が使用するGitHubのようなプラットフォーム上で活動する際には特に警戒するようユーザーに促した。.