Hackers estão roubandodentcriptográficas no GitHub com o Trojan bancário Astaroth

Hackers estão roubandodentcriptográficas no GitHub com um Trojan bancário chamado Astaroth. A descoberta foi revelada após uma investigação da empresa de cibersegurança McAfee. A empresa afirmou que o Trojan utiliza repositórios do GitHub sempre que seus servidores são desativados.

Segundo os pesquisadores, o Trojan bancário Astaroth é um vírus disseminado por meio de de phishing que convidam as vítimas a baixar um arquivo do Windows (.lnk).

Após a vítima baixar o arquivo, o malware é instalado no computador hospedeiro. O Astaroth é executado em segundo plano no dispositivo da vítima, utilizando keylogging para roubardentbancárias e de criptomoedas. Essasdentsão enviadas aos hackers através do proxy reverso Ngrok (um intermediário entre servidores).

Hackers usam o Trojan Astaroth para roubardentcriptográficas

Uma das características únicas é que o Astaroth usa repositórios do GitHub para atualizar a configuração do servidor sempre que seu servidor de comando e controle é desativado. Isso geralmente ocorre devido à intervenção de empresas de segurança cibernética ou agências de aplicação da lei.

“O GitHub não é usado para hospedar o malware em si, mas apenas para hospedar uma configuração que aponta para o servidor do bot”, disse Abhishek Karnik, Diretor de Pesquisa e Resposta a Ameaças da McAfee.

Karnik explicou que os responsáveis ​​pela implantação do malware estão usando o GitHub como recurso para direcionar as vítimas a servidores atualizados, o que diferencia esses ataques de casos anteriores em que o GitHub foi explorado. Isso inclui um vetor de ataque descoberto pela McAfee em 2024, no qual os hackers inseriram o malware Redline Stealer em repositórios do GitHub, algo que se repetiu este ano na campanha GitVenom.

“No entanto, neste caso, não é o malware que está sendo hospedado, mas sim uma configuração que gerencia a forma como o malware se comunica com sua infraestrutura de back-end”, acrescentou Karnik.

Assim como na campanha GitVenom, o objetivo dos criminosos por trás do Astaroth é exfiltrardentque podem ser usadas para roubar os ativos digitais de suas vítimas ou para fazer transferências de suas contas bancárias. "Não temos dados sobre quanto dinheiro ou criptomoedas foram roubados, mas parece ser muito comum, especialmente no Brasil", disse Karnik.

Pesquisadores observam a prevalência de malware na América do Sul

Segundo relatos, parece que o Astaroth foi usado principalmente em países da América do Sul, incluindo México, Uruguai, Panamá, Colômbia, Equador e Chile. Outros locais onde foi utilizado incluem Peru, Venezuela, Paraguai e Argentina.

Embora o malware também possa ser usado para atingir usuários em Portugal e Itália, ele foi programado de forma a não ser instalado em sistemas nos Estados Unidos ou em outros países onde o inglês é o idioma principal, como a Inglaterra.

O malware é capaz de desligar o sistema hospedeiro se detectar a execução de um software de análise, além de ser projetado para executar funções de registro de teclas (keylogging) caso detecte que um navegador está acessando determinados sites bancários. Entre eles, estão safra.com.br, btgpactual.com, caixa.gov.br, santandernet.com.br, itau.com.bre bancooriginal.com.br. Ele também foi desenvolvido para atacar domínios de criptomoedas como localbitcoins.combitcoinbitcointrade.com.br bitcoinfoxbit.com.br, etherscan.io e metamask.io.

Diante dessas ameaças, a McAfee alertou os usuários para que não abram anexos ou links de remetentes desconhecidos. Além disso, recomendou que utilizem software antivírus atualizado e autenticação de dois fatores.

A Kaspersky também alertou os usuários para que fiquem atentos, especialmente ao realizar atividades em plataformas como o GitHub, onde códigos são compartilhados e a plataforma é usada por milhões de desenvolvedores em todo o mundo.