یک کمپین جدید، اقدام به توزیع تروجان بانکی Astaroth میکند که از GitHub به عنوان ستون عملیات خود برای مقاوم ماندن در مواجهه با حذف زیرساختها استفاده میکند.
محققان McAfee Labs در گزارشی گفتند: این مهاجمان به جای تکیه صرف بر سرورهای سنتی فرماندهی و کنترل (C2) که میتوانند از کار بیفتند، از مخازن GitHub برای میزبانی پیکربندیهای بدافزار استفاده میکنند. با غیرفعالسازی زیرساخت C2، بدافزار Astaroth به سادگی پیکربندیهای جدید را از GitHub میگیرد و به کار خود ادامه میدهد. این فعالیت در درجه اول بر برزیل متمرکز است، اگرچه این بدافزار بانکی کشورهای مختلفی را در آمریکای لاتین از جمله مکزیک، اروگوئه، آرژانتین، پاراگوئه، شیلی، بولیوی، پرو، اکوادور، کلمبیا، ونزوئلا و پاناما هدف قرار میدهد.
McAfee گفت: Astaroth با میزبانی تصاویر در گیتهاب، که از استگانوگرافی برای پنهانسازی این اطلاعات در معرض دید استفاده میکند، از گیتهاب برای بهروزرسانی پیکربندی خود در هنگام غیرقابل دسترس شدن سرورهای C2 استفاده میکند. زنجیره حمله با یک ایمیل فیشینگ با تم DocuSign آغاز میشود که حاوی لینکی است که با دانلود و باز شدن فایل میانبر فشرده ویندوز (lnk.) را دانلود میکند، Astaroth را روی میزبان آسیبپذیرنصب میکند. Astaroth یک بدافزار دلفی است که برای نظارت بر بازدید قربانیان از وبسایتهای بانکی یا رمز ارزها و سرقت اعتبارنامههای آنها با استفاده از keylogging طراحی شده و اطلاعات ضبط شده را با استفاده از پروکسی معکوس Ngrok به مهاجمان منتقل میکند.
https://thehackernews.com/2025/10/astaroth-banking-trojan-abuses-github.html
