Noticias Cripto Hoy: Credenciales Cripto Están Siendo Robadas a Través de GitHub por el Troyano Astaroth

GitHub es utilizado por hackers para robar credenciales de criptomonedas a través de ataques de phishing y keylogging encubiertos con el troyano bancario Astaroth.

El robo de credenciales de criptomonedas ha adquirido un nuevo giro. Los hackers están utilizando GitHub para aumentar la difusión y longevidad del troyano bancario Astaroth.

Este sofisticado método fue identificado por el equipo de Investigación de Amenazas de McAfee, que descubrió que el malware depende de GitHub para almacenar configuraciones, por lo que el ataque resulta difícil de prevenir.

Los correos electrónicos de phishing son la primera etapa de la infección. Estos correos engañan a las víctimas para que descarguen archivos de acceso directo en Windows que están comprimidos. Una vez instalados, el troyano Astaroth se instala silenciosamente en un sistema, a la espera del robo de credenciales.

GitHub como respaldo de malware provoca alarma

Astaroth previene la interferencia aprovechando los repositorios de GitHub. Las autoridades destruyeron los servidores de comando y control del malware.

Empuja secretos de configuración frescos almacenados dentro de archivos de imagen en GitHub con esteganografía. De esta manera, mantiene el malware en funcionamiento incluso en caso de esfuerzos de eliminación.

Los correos electrónicos de phishing suelen ser una réplica de un tema reputado, como DocuSign o un currículum laboral.

Los archivos de malware se basan en comandos de JavaScript ofuscados para descargar automáticamente partes adicionales e inyectar su código en los procesos del sistema.

Realiza un seguimiento proactivo del uso de sitios bancarios o de criptomonedas por parte de los usuarios. Al detectarlo, registra las pulsaciones de teclas para robar credenciales y las transmite a los atacantes a través del servicio de proxy inverso de Ngrok.

Tácticas de Phishing y Sitios Objetivo

Aunque ha podido influir en varias regiones, su campaña actual se dirige principalmente a Brasil y otros países de América del Sur, entre ellos, Uruguay, Argentina y Colombia.

También está activa en Portugal e Italia, pero no utilizará sistemas que usen configuraciones de EE. UU. o inglés. El troyano ataca los navegadores de bancos tan populares como caixa.gov.br e itau.com.br

También hay una amenaza para los sitios web de criptomonedas, incluidos binance.com, etherscan.io y metamask.io. Al interceptar la información de inicio de sesión, los atacantes pueden drenar fondos o transferir dinero ilegalmente.