Turinys:
ToggleTrumpai
- „McAfee“ atskleidė „Trojan“ kampaniją, kurioje „GitHub“ naudoja kenkėjišką programą į naujus serverius, kai tik yra serveriai.
- Kenkėjiškos programinės įrangos pirmiausia nukreipia į Pietų Amerikos šalis, ypač daugiausia dėmesio skiriant Brazilijai.
- Virusas įkeltas per sukčiavimo el. Laiškus ir gali pavogti bankų ir kriptovaliutų įgaliojimus.
Įsilaužėliai dislokuoja bankų trojaną, kuris naudojasi „GitHub“ saugyklomis, kai tik jos serveriai panaikinami, duomenimis, kibernetinio saugumo įmonės „McAfee“ tyrimai.
Paskelbtas „Astaroth“, Trojos virusas paskleidžiamas sukčiavimo el. Laiškais, kurie kviečia aukas atsisiųsti „Windows“ (.LNK) failą, kuris įdiegia kenkėjišką programą pagrindiniame kompiuteryje.
„Astaroth“ veikia aukos įrenginio fone, naudodamas „Keylogging“, kad pavogtų bankininkystę ir kriptovaliutų kredencialus, ir siųsdamas tokius kredencialus naudojant „NGROK“ atvirkštinį tarpinį serverį (tarpininkas tarp serverių).
Unikali savybė yra ta, kad „Astaroth“ naudoja „GitHub“ saugyklas, norėdama atnaujinti savo serverio konfigūraciją, kai jo komandų ir kontrolės serveris bus panaikintas, o tai paprastai atsitinka dėl kibernetinio saugumo įmonių ar teisėsaugos agentūrų intervencijos.
„„ GitHub “nėra naudojamas pačiai kenkėjiškoms programoms priglobti, o tik norint surengti konfigūraciją, kuri nurodo į BOT serverį“, – sakė Abhishek Karnik, „McAfee“ grėsmės tyrimų ir atsakymo direktorius.
Kalbėdamas su IššifruotiKarnik paaiškino, kad kenkėjiškų programų diegėjai naudoja „GitHub“ kaip šaltinį, kad nukreiptų aukas atnaujintus serverius, kurie išskiria išnaudojimą nuo ankstesnių egzempliorių, kuriuose „GitHub“ buvo panaudota.
Tai apima atakos vektorių, kurį „McAfee“ atrado 2024 m., Kai blogi aktoriai įterpė kenkėjišką „Redline“ pavogimo programą į „GitHub“ saugyklas – tai, kas šiais metais buvo pakartota „Gitvenom“ kampanijoje.
„Tačiau šiuo atveju yra ne kenkėjiška programinė įranga, bet ir konfigūracija, kuri valdo, kaip kenkėjiška programa bendrauja su savo užpakaline infrastruktūra“, – pridūrė Karnik.
Kaip ir „Gitvenom“ kampanijoje, pagrindinis „Astaroth“ tikslas yra ištraukti įgaliojimus, kurie gali būti naudojami pavogti aukos kriptovaliutą ar perduoti pervedimus iš savo banko sąskaitų.
„Neturime duomenų apie tai, kiek pinigų ar kriptovaliutų jie pavogė, tačiau atrodo, kad jis yra labai paplitęs, ypač Brazilijoje“, – sakė Karnik.
Tikslas Pietų Amerika
Atrodo, kad „Astaroth“ pirmiausia nukreipė į Pietų Amerikos teritorijas, įskaitant Meksiką, Urugvajus, Argentiną, Paragvajus, Čilę, Boliviją, Peru, Ekvadorą, Kolumbiją, Venesuelą ir Panamą.
Nors ji taip pat gali nukreipti Portugaliją ir Italiją, kenkėjiškos programos yra parašytos taip, kad ji nebūtų įkelta į JAV ar kitų anglakalbių šalių (tokių kaip Angliją) sistemas.
Kenkėjiška programinė įranga uždaro savo pagrindinę sistemą, jei nustato, kad analizės programinė įranga yra valdoma, tuo pačiu skirta paleisti klavišų funkcijas, jei nustato, kad žiniatinklio naršyklė lankosi tam tikrose bankų svetainėse.
Tai apima caixa.gov.br, safra.com.br, itau.com.br, bancooriginal.com.br, santandernet.com.br ir btgpactual.com.
Jis taip pat buvo parašytas siekiant nukreipti į šias su kriptovaliutas susijusius domenus: etherscan.io, binance.com, bitcointrade.com.br, metamask.io, foxbit.com.br ir localbitcoins.com.
Susidūrę su tokiomis grėsmėmis, „McAfee“ pataria, kad vartotojai neatidarytų priedų ar nuorodų iš nežinomų siuntėjų, kartu naudodami naujausią antivirusinę programinę įrangą ir dviejų veiksnių autentifikavimą.
Kasdienis apklausa Informacinis biuletenis
Pradėkite kiekvieną dieną naudodamiesi populiariausiomis naujienų istorijomis, taip pat originaliomis funkcijomis, podcast'u, vaizdo įrašais ir dar daugiau.
