해커들이 아스타로스(Astaroth)라는 뱅킹 트로이목마를 이용해 깃허브(GitHub)에서 암호화폐dent를 훔치고 있는 것으로 드러났습니다. 사이버 보안 회사 맥아피(McAfee)의 조사 결과 이러한 사실이 밝혀졌습니다. 맥아피는 해당 트로이목마가 서버가 다운될 때마다 깃허브 저장소를 악용한다고 주장했습니다.
피해자에게 윈도우(.lnk) 파일을 다운로드하도록 유도하는 피싱 통해 확산되는 바이러스입니다
피해자가 파일을 다운로드하면 해당 악성 프로그램이 호스트 컴퓨터에 설치됩니다. Astaroth는 피해자의 기기에서 백그라운드로 실행되면서 키로깅을 통해 은행 및 암호화폐dent정보를 탈취합니다.dent정보는 Ngrok 리버스 프록시(서버 간 중개자)를 통해 해커에게 전송됩니다.
해커들이 아스타로스 트로이목마를 이용해 암호화폐dent정보를 훔치고 있습니다
Astaroth의 독특한 특징 중 하나는 명령 및 제어 서버가 다운될 때마다 GitHub 저장소를 사용하여 서버 구성을 업데이트한다는 것입니다. 이러한 다운은 일반적으로 사이버 보안 회사나 법 집행 기관의 개입으로 인해 발생합니다.
맥아피의 위협 연구 및 대응 담당 이사인 아비셰크 카르닉 "GitHub는 악성코드 자체를 호스팅하는 데 사용되는 것이 아니라, 봇 서버를 가리키는 구성 파일을 호스팅하는 데 사용될 뿐입니다." 라고 말했습니다
악성코드 유포자들이 설명하며 , 이는 GitHub를 악용한 이전 사례들과 차별화되는 점이라고 지적했습니다. 이러한 공격 방식에는 2024년 McAfee가 발견한 공격 벡터, 즉 해커들이 Redline Stealer 악성코드를 GitHub 저장소에 삽입하는 방식이 포함되며, 올해 GitVenom 캠페인에서도 동일한 수법이 반복되었습니다.
"하지만 이 경우에는 악성코드 자체가 호스팅되는 것이 아니라, 악성코드가 백엔드 인프라와 통신하는 방식을 관리하는 구성 파일이 호스팅되는 것입니다."라고 카르니크는 덧붙였다.
GitVenom 캠페인과 마찬가지로 Astaroth 배후의 악의적인 행위자들의 목표는 피해자의 디지털 자산을 훔치거나 은행 계좌에서 돈을 빼돌리는 데 사용할 수 있는dent증명을 빼내는 것입니다. 카르닉은 "얼마나 많은 돈이나 암호화폐가 도난당했는지에 대한 데이터는 없지만, 특히 브라질에서 매우 만연한 것으로 보입니다."라고 말했습니다.
연구원들은 남미에서 악성 소프트웨어가 널리 퍼져 있음을 지적했습니다
보고서에 따르면 아스타로트는 주로 멕시코, 우루과이, 파나마, 콜롬비아, 에콰도르, 칠레 등 남미 국가에서 사용된 것으로 보입니다. 그 외에도 페루, 베네수엘라, 파라과이, 아르헨티나에서도 사용된 사례가 보고되었습니다.
해당 악성 소프트웨어는 포르투갈과 이탈리아의 사용자도 공격할 수 있지만, 미국이나 영국처럼 영어가 주요 언어인 다른 국가의 시스템에는 업로드되지 않도록 코딩되어 있습니다.
해당 악성 소프트웨어는 분석 소프트웨어가 실행 중인 것을 감지하면 호스트 시스템을 종료할 수 있으며, 웹 브라우저가 특정 은행 웹사이트(safra.com.br, btgpactual.com, caixa.gov.br, santandernet.com.br, itau.com.br bitcoin 사이트인 s.com, bitcoin trade.com.br, foxbit.com.br, etherscan.io, metamask.io 와 같은 암호화폐 관련 도메인을 대상으로 하도록 제작되었습니다
이러한 위협에 직면하여 McAfee는 사용자들에게 알 수 없는 발신자가 보낸 첨부 파일이나 링크를 열지 말 것을 권고했습니다. 또한 최신 바이러스 백신 소프트웨어와 2단계 인증을 사용할 것을 권장했습니다.
카스퍼스키는 특히 전 세계 수백만 명의 개발자가 코드를 공유하고 사용하는 깃허브와 같은 플랫폼에서 활동할 때 주의를 기울일 것을 사용자들에게 당부했습니다.
