ينشر المتسللون فيروس طروادة المصرفي الذي يستخدم مستودعات GitHub كلما تمت إزالة خوادمه، وفقًا لبحث أجرته شركة McAfee للأمن السيبراني.
وينتشر فيروس طروادة، الذي يطلق عليه اسم Astaroth، عبر رسائل البريد الإلكتروني التصيدية التي تدعو الضحايا إلى تنزيل ملف Windows (.lnk)، الذي يقوم بتثبيت البرامج الضارة على جهاز كمبيوتر مضيف.
يعمل Astaroth في خلفية جهاز الضحية، باستخدام تسجيل المفاتيح لسرقة بيانات الاعتماد المصرفية والتشفير، وإرسال بيانات الاعتماد هذه باستخدام وكيل Ngrok العكسي (وسيط بين الخوادم).
وتتمثل الميزة الفريدة لها في أن Astaroth يستخدم مستودعات GitHub لتحديث تكوين الخادم الخاص به عندما يتم إيقاف خادم القيادة والتحكم الخاص به، وهو ما يحدث عادةً بسبب تدخل شركات الأمن السيبراني أو وكالات إنفاذ القانون.
وقال أبهيشيك كارنيك، مدير أبحاث التهديدات والاستجابة لها في McAfee: “لا يتم استخدام GitHub لاستضافة البرامج الضارة نفسها، ولكن فقط لاستضافة تكوين يشير إلى خادم الروبوت”.
يتحدث الى فك التشفيروأوضح كارنيك أن ناشري البرامج الضارة يستخدمون GitHub كمورد لتوجيه الضحايا إلى الخوادم المحدثة، وهو ما يميز الاستغلال عن الحالات السابقة التي تم فيها تسخير GitHub.
يتضمن ذلك ناقل هجوم اكتشفه McAfee في عام 2024، حيث قام ممثلون سيئون بإدخال البرنامج الضار Redline Stealer في مستودعات GitHub، وهو الأمر الذي تكرر هذا العام في حملة GitVenom.
وأضاف كارنيك: “ومع ذلك، في هذه الحالة، ليست البرامج الضارة هي التي تتم استضافتها، بل تكوين يدير كيفية تواصل البرامج الضارة مع بنيتها التحتية الخلفية”.
كما هو الحال مع حملة GitVenom، فإن الهدف النهائي لـ Astaroth هو سحب بيانات الاعتماد التي يمكن استخدامها لسرقة العملات المشفرة للضحية أو لإجراء تحويلات من حساباتهم المصرفية.
وقال كارنيك: “ليس لدينا بيانات حول مقدار الأموال أو العملات المشفرة التي سرقتها، ولكن يبدو أنها منتشرة للغاية، خاصة في البرازيل”.
استهداف أمريكا الجنوبية
ويبدو أن Astaroth استهدفت في المقام الأول أراضي أمريكا الجنوبية، بما في ذلك المكسيك وأوروغواي والأرجنتين وباراغواي وتشيلي وبوليفيا وبيرو والإكوادور وكولومبيا وفنزويلا وبنما.
وفي حين أنها قادرة أيضًا على استهداف البرتغال وإيطاليا، فقد تم تصميم البرامج الضارة بحيث لا يتم تحميلها على الأنظمة في الولايات المتحدة أو البلدان الأخرى الناطقة باللغة الإنجليزية (مثل إنجلترا).
تقوم البرامج الضارة بإيقاف تشغيل نظامها المضيف إذا اكتشفت أن برنامج التحليل قيد التشغيل، في حين أنها مصممة لتشغيل وظائف تسجيل لوحة المفاتيح إذا اكتشفت أن متصفح الويب يزور مواقع مصرفية معينة.
وتشمل هذه المواقع caixa.gov.br، وsafra.com.br، وitau.com.br، وbancooriginal.com.br، وsantandernet.com.br، وbtgpactual.com.
وقد تمت كتابته أيضًا لاستهداف المجالات التالية ذات الصلة بالعملات المشفرة:etherscan.io، وbinance.com، وbitcointrade.com.br، وmetamask.io، وfoxbit.com.br، وlocalbitcoins.com.
وفي مواجهة مثل هذه التهديدات، تنصح McAfee المستخدمين بعدم فتح المرفقات أو الروابط من مرسلين غير معروفين، مع استخدام برامج مكافحة الفيروسات الحديثة والمصادقة الثنائية.