黑客利用 Astaroth 银行木马窃取 GitHub 上的加密货币dent。

黑客现在正利用名为 Astaroth 的银行木马窃取 GitHub 上的加密货币dent。网络安全公司 McAfee 的研究揭露了这一情况。该公司称，该木马会在服务器宕机时利用 GitHub 代码库进行攻击。.

研究人员表示，Astaroth 银行木马是一种通过 网络钓鱼 电子邮件传播的病毒，该邮件诱骗受害者下载 Windows (.lnk) 文件。

受害者下载文件后，该文件会在宿主机上安装恶意软件。Astaroth 在受害者设备的后台运行，利用键盘记录功能窃取银行和加密货币dent。这些dent会通过 Ngrok 反向代理（服务器之间的中介）发送给黑客。.

黑客利用Astaroth木马窃取加密货币dent

Astaroth 的一个独特之处在于，当其命令与控制服务器宕机时，它会使用 GitHub 代码库来更新服务器配置。这种情况通常是由于网络安全公司或执法机构的介入造成的。.

McAfee 威胁研究与响应总监 Abhishek Karnik表示： “GitHub 并不用于托管恶意软件本身，而只是用于托管指向僵尸网络服务器的配置。”

Karnik解释说， 恶意软件的部署者 利用GitHub作为资源，引导受害者访问更新后的服务器，这使得此次攻击与以往利用GitHub的攻击有所不同。这其中包括McAfee在2024年发现的一种攻击途径，当时黑客将Redline Stealer恶意软件植入GitHub代码库，而今年的GitVenom攻击活动中也出现了类似的情况。

“然而，在这种情况下，托管的不是恶意软件，而是一个管理恶意软件如何与其后端基础设施通信的配置，”卡尼克补充道。.

与 GitVenom 攻击活动类似，Astaroth 背后的恶意行为者的目标是窃取dent，用于盗取受害者的数字资产或从其银行账户进行转账。“我们没有关于其窃取了多少资金或加密货币的数据，但这种攻击似乎非常普遍，尤其是在巴西，”Karnik 说。.

研究人员注意到恶意软件在南美洲的普遍存在。

据报道，阿斯塔罗斯似乎主要在南美国家使用，包括墨西哥、乌拉圭、巴拿马、哥伦比亚、厄瓜多尔和智利。其他使用过阿斯塔罗斯的地区还有秘鲁、委内瑞拉、巴拉圭和阿根廷。.

虽然该恶意软件也可用于攻击葡萄牙和意大利的用户，但其代码设计使其无法上传到美国或其他以英语为主要语言的国家（如英国）的系统中。.

该恶意软件能够在检测到分析软件正在运行时关闭宿主系统，并在检测到网络浏览器访问某些银行网站时运行键盘记录功能。这些网站包括 safra.com.br、btgpactual.com、caixa.gov.br、santandernet.com.br、 itau.com.br和 bancooriginal.com.br。此外，该恶意软件还被编写用于攻击加密货币域名，例如 localbitcoins.com、 bitcointrade.com.br、foxbit.com.br、etherscan.io 和 metamask.io。

面对此类威胁，迈克菲敦促用户不要打开来自未知发件人的附件或链接。此外，该公司还建议用户确保使用最新版本的防病毒软件并启用双因素身份验证。.

卡巴斯基还敦促用户保持警惕，尤其是在 GitHub 等平台上进行活动时，因为这些平台上会共享代码，并且有数百万全球开发者使用该平台。.