Berita Kripto Hari Ini: Kredensial Kripto Dicuri Melalui GitHub oleh Trojan Astaroth

GitHub digunakan oleh peretas untuk mencuri kredensial kripto melalui serangan phishing dan keylogging tersembunyi dengan Trojan Perbankan Astaroth.

Pencurian kredensial kripto telah mendapatkan sudut pandang baru. Para peretas menggunakan GitHub untuk meningkatkan penyebaran dan umur panjang Trojan perbankan Astaroth.

Metode canggih ini diidentifikasi oleh tim Penelitian Ancaman McAfee, yang menemukan bahwa malware ini mengandalkan GitHub untuk menyimpan pengaturan, sehingga serangan ini sulit untuk dicegah.

Email phishing adalah tahap pertama infeksi. Email ini menggoda korban untuk mengunduh file pintasan di Windows yang dikompres. Ketika diinstal, Trojan Astaroth dengan diam-diam menginstal di sistem, menunggu pencurian kredensial.

GitHub sebagai Cadangan Malware Memicu Alarm

Astaroth mencegah gangguan dengan memanfaatkan repositori GitHub. Otoritas menghancurkan server perintah dan kendali malware.

Mendorong rahasia konfigurasi baru yang disimpan dalam file gambar di GitHub dengan steganografi. Dengan cara ini, malware tetap berjalan bahkan dalam kasus upaya penghapusan.

Email phishing yang ditargetkan biasanya merupakan salinan dari topik yang terpercaya, seperti DocuSign atau resume pekerjaan

File malware bergantung pada perintah JavaScript yang diobfuskasi untuk secara otomatis mengunduh bagian tambahan dan menyuntikkan kode mereka ke dalam proses sistem.

Ini secara proaktif melacak penggunaan situs perbankan atau cryptocurrency oleh pengguna. Setelah terdeteksi, ia mencatat penekanan tombol untuk mencuri kredensial dan mengirimkannya kepada penyerang melalui layanan proxy terbalik Ngrok.​

Taktik Phishing dan Situs Terarah

Meskipun telah mampu mempengaruhi berbagai wilayah, kampanye saat ini sebagian besar menargetkan Brasil dan negara-negara Amerika Selatan lainnya, di antaranya Uruguay, Argentina, dan Kolombia.

Ini juga aktif di Portugal dan Italia, tetapi tidak akan menggunakan sistem yang menggunakan pengaturan AS atau Inggris. Trojan menyerang browser bank populer seperti caixa.gov.br dan itau.com.br

Ada juga ancaman terhadap situs web cryptocurrency, termasuk binance.com, etherscan.io, dan metamask.io. Dengan mencegat informasi login, pelaku dapat menguras dana atau mentransfer uang secara ilegal.