Kripto Haberler Bugün: Astaroth Trojan ile GitHub Üzerinden Kripto Kimlikleri Çalınıyor

GitHub, Astaroth Bankası Trojan'ı ile kimlik avı ve gizli tuş kaydetme saldırıları yoluyla kripto kimlik bilgilerini çalmak için korsanlar tarafından kullanılmaktadır.

Kripto kimliklerinin çalınması yeni bir boyut kazandı. Hackerlar, Astaroth bankacılık Truva atının yayılmasını ve ömrünü uzatmak için GitHub'ı kullanıyor.

Bu sofistike yöntem, McAfee'nin Tehdit Araştırma ekibi tarafından tespit edildi; bu ekip, zararlı yazılımın ayarlarını depolamak için GitHub'a güvendiğini buldu, bu da saldırının önlenmesini zorlaştırıyor.

Açıkça kimlik avı e-postaları, enfeksiyonun ilk aşamasıdır. Bu e-postalar, kurbanları Windows'ta sıkıştırılmış kısayol dosyalarını indirmeye çekmektedir. Kurulduğunda, Astaroth Trojan'ı sessizce bir sisteme kurulur ve kimlik bilgilerini çalmayı bekler.

GitHub, Kötü Amaçlı Yazılım Yedeği Olarak Alarm Veriyor

Astaroth, GitHub depolarını kullanarak müdahaleyi engelliyor. Yetkililer, kötü amaçlı yazılımın komut ve kontrol sunucularını imha etti.

Gizli bilgileri, steganografi ile GitHub'daki görüntü dosyalarına yerleştirerek yeni yapılandırma sırlarını itiyor. Bu şekilde, kaldırma çabalarına rağmen kötü amaçlı yazılımın çalışmasını sürdürüyor.

Hedeflenen sahtecilik e-postaları genellikle DocuSign veya bir iş özgeçmişi gibi itibarlı bir konunun kopyasıdır.

Kötü amaçlı yazılım dosyaları, ek parçaları otomatik olarak indirmek ve kodlarını sistem süreçlerine enjekte etmek için obfuscate edilmiş JavaScript komutlarına güvenmektedir.

Kullanıcıların banka veya kripto para sitelerini kullanımını proaktif olarak takip eder. Tespit edildiğinde, kimlik bilgilerini çalmak için tuş vuruşlarını kaydeder ve bunları Ngrok'un ters proxy hizmeti aracılığıyla saldırganlara iletir.

Phishing Taktikleri ve Hedeflenen Siteler

Çeşitli bölgeleri etkileyebilmesine rağmen, mevcut kampanyası çoğunlukla Brezilya ve diğer Güney Amerika ülkelerini, bunlar arasında Uruguay, Arjantin ve Kolombiya'yı hedef almaktadır.

Portekiz ve İtalya'da da aktiftir, ancak ABD veya İngiliz ayarlarını kullanan sistemleri kullanmayacaktır. Trojan, caixa.gov.br ve itau.com.br gibi popüler bankaların tarayıcılarına saldırıyor.

Kripto para web sitelerine, binance.com, etherscan.io ve metamask.io dahil, bir tehdit de bulunmaktadır. Giriş bilgilerini ele geçiren saldırganlar, fonları boşaltabilir veya parayı yasadışı bir şekilde transfer edebilirler.