银行木马利用GitHub劫持加密货币凭证

Astaroth银行木马利用GitHub窃取加密货币凭证

根据某安全机构的研究，黑客正在部署一种银行木马，该木马在其服务器被关闭时会利用GitHub仓库。

这种被称为Astaroth的特洛伊木马病毒通过钓鱼邮件传播，诱使受害者下载一个Windows (.lnk)文件，从而将恶意软件安装到主机上。

Astaroth在受害者设备的后台运行，使用键盘记录来窃取银行和加密货币凭证，并通过Ngrok反向代理（服务器之间的中介）发送这些凭证。

其独特之处在于，Astaroth在其命令与控制服务器被关闭时，会使用GitHub仓库来更新其服务器配置。服务器关闭通常是由于某安全机构或执法机构的干预所致。

“GitHub并非用于托管恶意软件本身，而仅用于托管指向僵尸服务器的配置，”某安全机构威胁研究与响应总监表示。

在接受采访时，他解释说，恶意软件的部署者利用GitHub作为资源，将受害者引导至更新后的服务器，这使该漏洞区别于以往利用GitHub的实例。

这包括某安全机构在2024年发现的一种攻击媒介，其中攻击者将Redline Stealer恶意软件插入GitHub仓库，今年在GitVenom活动中也重复了这种做法。

“然而，在这种情况下，托管的不是恶意软件，而是一个管理恶意软件如何与其后端基础设施通信的配置，”他补充道。

与GitVenom活动一样，Astaroth的最终目的是窃取凭证，这些凭证可用于窃取受害者的加密货币或从其银行账户转出资金。

“我们没有关于它窃取了多少钱或加密货币的数据，但它似乎非常普遍，尤其是在巴西，”他说。

针对南美洲

Astaroth似乎主要针对南美地区，包括墨西哥、乌拉圭、阿根廷、巴拉圭、智利、玻利维亚、秘鲁、厄瓜多尔、哥伦比亚、委内瑞拉和巴拿马。

虽然它也能够针对葡萄牙和意大利，但该恶意软件的编写方式确保其不会上传到美国或其他英语国家（如英国）的系统。

如果检测到正在运行分析软件，该恶意软件会关闭其主机系统。同时，如果检测到网络浏览器正在访问某些银行网站，它会启动键盘记录功能。

这些网站包括 caixa.gov.br, safra.com.br, itau.com.br, bancooriginal.com.br, santandernet.com.br 和 btgpactual.com。

它还被编写为针对以下与加密货币相关的域名：etherscan.io, binance.com, bitcointrade.com.br, metamask.io, foxbit.com.br 和 localbitcoins.com。

面对此类威胁，某安全机构建议用户不要打开来自未知发件人的附件或链接，同时使用最新的防病毒软件和双重认证。
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）或者 我的个人博客 https://blog.qife122.com/
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）