Actualités Crypto Aujourd'hui : Les Identifiants Crypto Sont Volés via GitHub par le Cheval de Troie Astaroth

GitHub est utilisé par des hackers pour voler des identifiants de crypto-monnaie via des attaques de phishing et de keylogging furtif avec le Trojan bancaire Astaroth.

Le vol de données d'identification crypto a pris un nouveau tournant. Les hackers utilisent GitHub pour augmenter la propagation et la longévité du cheval de Troie bancaire Astaroth.

Cette méthode sophistiquée a été identifiée par l'équipe de recherche sur les menaces de McAfee, qui a découvert que le logiciel malveillant s'appuie sur GitHub pour stocker les paramètres, rendant ainsi l'attaque difficile à prévenir.

Les e-mails de phishing sont la première étape de l'infection. Ces e-mails attirent les victimes à télécharger des fichiers de raccourci dans Windows qui sont compressés. Une fois installée, le cheval de Troie Astaroth s'installe discrètement sur un système, attendant le vol de crédentiels.

GitHub comme sauvegarde de logiciels malveillants suscite des alarmes

Astaroth empêche l'interférence en exploitant les dépôts GitHub. Les autorités ont détruit les serveurs de commande et de contrôle du logiciel malveillant.

Pousse des secrets de configuration frais stockés dans des fichiers image sur GitHub avec de la stéganographie. De cette manière, cela maintient le malware en cours d'exécution même en cas de tentatives de suppression.

Les e-mails de phishing ciblés sont généralement une réplique d'un sujet réputé, comme DocuSign ou un CV.

Les fichiers malveillants s'appuient sur des commandes JavaScript obscurcies pour télécharger automatiquement des parties supplémentaires et injecter leur code dans les processus système.

Il suit de manière proactive l'utilisation des sites bancaires ou de cryptomonnaie par les utilisateurs. Lors de la détection, il enregistre les frappes au clavier pour voler les identifiants et les transmet aux attaquants via le service de proxy inversé de Ngrok.​

Tactiques de phishing et sites ciblés

Bien qu'il ait pu influencer diverses régions, sa campagne actuelle cible principalement le Brésil et d'autres pays d'Amérique du Sud, parmi lesquels l'Uruguay, l'Argentine et la Colombie.

Il est également actif au Portugal et en Italie, mais n'utilisera pas de systèmes utilisant des paramètres américains ou anglais. Le Trojan attaque les navigateurs de banques populaires telles que caixa.gov.br et itau.com.br.

Il existe également une menace pour les sites Web de cryptomonnaie, y compris binance.com, etherscan.io et metamask.io. En interceptant les informations de connexion, les attaquants peuvent vider des fonds ou transférer de l'argent illégalement.