黑客正在部署一种银行木马，该木马利用 GitHub 存储库来应对其服务器被关闭的情况，具体内容来自 网络安全公司 McAfee 的研究。

这种被称为 Astaroth 的木马病毒通过钓鱼邮件传播，邀请受害者下载一个 Windows (.lnk) 文件，从而在主机计算机上安装恶意软件。

Astaroth 在受害者设备的后台运行，使用键盘记录功能窃取银行和加密货币凭证，并通过 Ngrok 反向代理（服务器之间的中介）发送这些凭证。

其独特之处在于，Astaroth 利用 GitHub 存储库在其指挥和控制服务器被关闭时更新其服务器配置，这通常是由于网络安全公司或执法机构的干预。

“GitHub 并不是用来托管恶意软件本身，而只是用来托管指向机器人服务器的配置，”McAfee 威胁研究与响应总监 Abhishek Karnik 说。

Karnik 在接受 Decrypt 采访时解释说，恶意软件的部署者正在使用 GitHub 作为资源，将受害者引导到更新的服务器，这使得该漏洞与之前利用 GitHub 的情况有所不同。

这包括 McAfee 在 2024 年发现的一种攻击向量，其中恶意行为者将 Redline Stealer 恶意软件插入 GitHub 存储库，而 今年在 GitVenom 活动中也重复了这一行为。

“然而，在这种情况下，托管的不是恶意软件，而是管理恶意软件与其后端基础设施通信的配置，”Karnik 补充道。

与 GitVenom 活动一样，Astaroth 的最终目的是提取可以用来窃取受害者加密货币或从其银行账户转账的凭证。

“我们没有关于它窃取了多少资金或加密货币的数据，但它似乎非常普遍，尤其是在巴西，”Karnik 说。

针对南美

Astaroth 似乎主要针对南美地区，包括墨西哥、乌拉圭、阿根廷、巴拉圭、智利、玻利维亚、秘鲁、厄瓜多尔、哥伦比亚、委内瑞拉和巴拿马。

虽然它也能够针对葡萄牙和意大利，但该恶意软件的编写方式使其不会上传到美国或其他英语国家（如英国）的系统。

如果检测到分析软件正在运行，该恶意软件会关闭其宿主系统，同时如果检测到网页浏览器访问某些银行网站，它会运行键盘记录功能。

这些网站包括 caixa.gov.br、safra.com.br、itau.com.br、bancooriginal.com.br、santandernet.com.br 和 btgpactual.com。

它还被编写为针对以下与加密货币相关的域名：etherscan.io、binance.com、bitcointrade.com.br、metamask.io、foxbit.com.br 和 localbitcoins.com。

面对这样的威胁，McAfee 建议用户不要打开来自未知发件人的附件或链接，同时使用最新的防病毒软件和双重身份验证。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。