Хакеры крадутdentна GitHub с помощью банковского трояна Astaroth

Хакеры теперь крадутdentна GitHub с помощью банковского трояна под названием Astaroth. Об этом стало известно после исследования компании McAfee, специализирующейся на кибербезопасности. Компания утверждает, что троян использует репозитории GitHub всякий раз, когда его серверы выходят из строя.

По словам исследователей, банковский троян Astaroth — это вирус, распространяющийся через фишинговые электронные письма, в которых жертвам предлагается загрузить файл Windows (.lnk).

После загрузки файла жертвой на компьютер устанавливается вредоносное ПО. Astaroth работает в фоновом режиме на устройстве жертвы, используя перехват нажатий клавиш для кражи банковских и криптовалютныхdent. Этиdentпередаются хакерам через обратный прокси-сервер Ngrok (посредник между серверами).

Хакеры используют троян Astaroth для кражи криптографическихdent

Одна из уникальных особенностей Astaroth заключается в том, что компания использует репозитории GitHub для обновления конфигурации своего сервера всякий раз, когда его центральный сервер управления выходит из строя. Обычно это происходит из-за вмешательства компаний, занимающихся кибербезопасностью, или правоохранительных органов.

«GitHub используется не для размещения самого вредоносного ПО, а лишь для размещения конфигурации, указывающей на сервер бота», — сказал Абхишек Карник, директор по исследованию и реагированию на угрозы в McAfee.

Карник объяснил, что распространители вредоносного ПО используют GitHub в качестве ресурса для перенаправления жертв на обновленные серверы, что отличает эти эксплойты от предыдущих случаев использования GitHub. Это включает в себя вектор атаки, обнаруженный McAfee в 2024 году, когда хакеры внедрили вредоносное ПО Redline Stealer в репозитории GitHub, что было повторено в этом году в рамках кампании GitVenom.

«Однако в данном случае размещается не вредоносное ПО, а конфигурация, которая управляет тем, как вредоносное ПО взаимодействует со своей внутренней инфраструктурой», — добавил Карник.

Как и в случае с кампанией GitVenom, цель злоумышленников, стоящих за Astaroth, — похищениеdentданных, которые можно использовать для кражи цифровых активов жертв или для совершения переводов с их банковских счетов. «У нас нет данных о том, сколько денег или криптовалюты было украдено, но, похоже, это очень распространенное явление, особенно в Бразилии», — сказал Карник.

Исследователи отмечают распространенность вредоносного программного обеспечения в Южной Америке

Согласно сообщениям, похоже, что Астарот использовался преимущественно в странах Южной Америки, включая Мексику, Уругвай, Панаму, Колумбию, Эквадор и Чили. Также его применяли в Перу, Венесуэле, Парагвае и Аргентине.

Хотя вредоносное ПО может быть использовано и для атак на пользователей в Португалии и Италии, оно закодировано таким образом, что не загружается в системы в Соединенных Штатах или других странах, где английский является основным языком, например, в Англии.

Вредоносная программа способна вывести из строя свою хост-систему, если обнаружит работу аналитического программного обеспечения, а также запускать функции перехвата нажатий клавиш, если обнаружит посещение определенных банковских сайтов веб-браузером. К ним относятся safra.com.br, btgpactual.com, caixa.gov.br, santandernet.com.br, itau.com.brи bancooriginal.com.br. Она также была разработана для атаки на криптодомены, такие как localbitcoinbitcoinbitcoin bitcoinbitcoinbitcoinbitcoin bitcoinbitcointrade.com.br, foxbit.com.br, etherscan.io и metamask.io.

В связи с подобными угрозами компания McAfee настоятельно рекомендовала пользователям не открывать вложения или ссылки от неизвестных отправителей. Кроме того, она посоветовала им убедиться в использовании обновленного антивирусного программного обеспечения и двухфакторной аутентификации.

Компания «Лаборатория Касперского» также призвала пользователей проявлять бдительность, особенно при работе на таких платформах, как GitHub, где происходит обмен кодом и которыми пользуются миллионы разработчиков по всему миру.