Astaroth银行木马利用GitHub托管配置窃取加密货币和银行凭证

近日，网络安全公司McAfee的研究团队发现了一种名为Astaroth的银行木马病毒正在通过GitHub存储库更新其服务器配置，以规避执法机构或安全团队对其命令和控制服务器的关闭。

该恶意软件主要通过网络钓鱼电子邮件传播，诱导受害者下载伪装成Windows快捷方式（.lnk）文件的附件，从而在主机上安装恶意程序。

一旦感染，Astaroth会在后台运行，使用键盘记录技术窃取受害者的银行账户和加密货币凭证，并通过Ngrok反向代理将这些敏感信息发送到攻击者的服务器。

据McAfee威胁研究与响应总监Abhishek Karnik介绍，Astaroth的独特之处在于它利用GitHub存储库托管配置文件，而不是直接托管恶意软件本身。这种方式使得攻击者能够在命令和控制服务器被关闭时迅速切换到新的服务器。

“GitHub并不是用来托管恶意软件，而是用来托管指向机器人服务器的配置。”Karnik在接受采访时解释道。

这种策略与此前发现的一些攻击活动有所不同，例如2024年McAfee曾揭露的Redline Stealer恶意软件迁移到GitHub存储库的案例，以及今年GitVenom活动中类似的战术。

Astaroth的主要目标是窃取可用于转移银行账户资金或加密货币的凭证。尽管目前尚无确切数据表明该木马已造成多少经济损失，但Karnik指出，它在巴西尤为猖獗。

集中攻击南美地区

根据分析，Astaroth的主要目标是南美洲国家，包括墨西哥、乌拉圭、阿根廷、巴拉圭、智利、玻利维亚、秘鲁、厄瓜多尔、哥伦比亚、委内瑞拉和巴拿马。

此外，该恶意软件还能针对葡萄牙和意大利的部分系统，但经过特殊设计，不会影响美国及其他英语国家（如英国）的用户。

Astaroth具备一定的反分析能力，当检测到分析工具运行时会自动关闭；而如果发现浏览器访问特定银行网站，则会激活键盘记录功能。

被盯上的银行网站包括caixa.gov.br、safra.com.br、itau.com.br、bancooriginal.com.br、santandernet.com.br和btgpactual.com等。

同时，它还针对以下与加密货币相关的域名：etherscan.io、binance.com、bitcointrade.com.br、metamask.io、foxbit.com.br和localbitcoins.com。

为了防范此类威胁，McAfee建议用户不要轻易打开未知发件人发送的附件或链接，始终保持防病毒软件为最新版本，并启用双因素身份验证以提高安全性。