Source: https://thehackernews.com/2025/10/astaroth-banking-trojan-abuses-github.html
🛡 概要
サイバーセキュリティ研究者たちは、Astarothバンキングトロイの木馬がGitHubを利用して運用を継続する新たなキャンペーンに注目しています。従来のコマンド&コントロール(C2)サーバーに依存せず、攻撃者はマルウェアの設定をホストするためにGitHubリポジトリを利用しています。この手法により、法執行機関やセキュリティ研究者がC2インフラをシャットダウンしても、AstarothはGitHubから新しい設定を取得し、稼働を続けることが可能です。主な対象地域はブラジルですが、ラテンアメリカの他の国々も標的にしています。
🔍 技術詳細
AstarothはDelphiで作成されたマルウェアで、被害者の銀行や暗号通貨のウェブサイト訪問を監視し、キーロギングで認証情報を盗みます。最新の攻撃では、DocuSignをテーマにしたフィッシングメールが利用され、リンクをクリックすると.zipファイルがダウンロードされます。このファイルを開くと、Astarothがインストールされます。LNKファイルには難読化されたJavaScriptが含まれており、外部サーバーから追加のJavaScriptを取得します。取得したJavaScriptは、いくつかのファイルをランダムに選択されたサーバーからダウンロードします。
⚠ 影響
Astarothは、銀行関連のウェブサイトを訪問する際にキーストロークを記録し、情報を攻撃者に送信します。特にブラジルの銀行サイトが狙われており、caixa.gov.brやitau.com.br、binance.comなどがターゲットとなっています。また、Astarothはエミュレーターやデバッガーを検出すると、自動的にシャットダウンします。このため、セキュリティ研究者による分析が難しくなっています。
🛠 対策
Astarothの活動を抑制するためには、エンドポイント保護ソリューションを導入し、フィッシングメールの検出機能を強化することが重要です。また、ユーザー教育を通じて、不審なリンクをクリックしないように注意を促すことも効果的です。さらに、システムのロケール設定を英語または米国にしないことで、マルウェアが稼働するリスクを低減できます。セキュリティ企業は、GitHubと連携してリポジトリを削除するなどの対策を講じることが求められます。
