Notícias Cripto Hoje: Credenciais Cripto Estão Sendo Roubadas Através do GitHub pelo Trojan Astaroth

O GitHub é usado por hackers para roubar credenciais de criptomoeda por meio de ataques de phishing e keylogging encobertos com o Trojan Bancário Astaroth.

O roubo de credenciais de criptomoedas ganhou uma nova reviravolta. Os hackers estão usando o GitHub para aumentar a disseminação e a longevidade do Trojan bancário Astaroth.

Este método sofisticado foi identificado pela equipa de Pesquisa de Ameaças da McAfee, que descobriu que o malware depende do GitHub para armazenar configurações, tornando assim o ataque difícil de prevenir.

Os emails de phishing são a primeira fase da infecção. Estes emails atraem as vítimas a descarregar ficheiros de atalho no Windows que estão compactados. Quando instalados, o Trojan Astaroth instala-se silenciosamente num sistema, aguardando o roubo de credenciais.

GitHub como Backup de Malware Suscita Alarme

Astaroth previne interferências explorando repositórios do GitHub. As autoridades destruíram os servidores de comando e controlo do malware.

Empurra segredos de configuração frescos armazenados dentro de arquivos de imagem no GitHub com esteganografia. Desta forma, mantém o malware em funcionamento mesmo em caso de tentativas de remoção.

Os e-mails de phishing direcionados costumam ser uma réplica de um tópico respeitável, como o DocuSign ou um currículo.

Os ficheiros de malware dependem de comandos JavaScript ofuscados para descarregar automaticamente partes adicionais e injetar o seu código em processos do sistema.

Ele rastreia proativamente o uso de sites bancários ou de criptomoedas pelos usuários. Ao detectar, regista as teclas pressionadas para roubar credenciais e as transmite aos atacantes através do serviço de proxy reverso do Ngrok.​

Táticas de Phishing e Sites Alvo

Embora tenha conseguido influenciar várias regiões, sua campanha atual visa principalmente o Brasil e outras nações sul-americanas, entre elas, Uruguai, Argentina e Colômbia.

Está também ativo em Portugal e Itália, mas não usará sistemas que utilizem configurações dos EUA ou em inglês. O Trojan ataca os navegadores de bancos populares como caixa.gov.br e itau.com.br

Há também uma ameaça a sites de criptomoeda, incluindo binance.com, etherscan.io e metamask.io. Ao interceptar informações de login, os atacantes conseguem esvaziar fundos ou transferir dinheiro ilegalmente.