Headline24jam.com – Penelitian terbaru mengungkapkan bahwa Astaroth, sebuah malware banking Trojan, menggunakan konfigurasi yang dihosting di GitHub untuk mengalihkan dan terus mencuri kredensial perbankan serta cryptocurrency dari pengguna yang terinfeksi. Para peneliti menemukan bahwa malware ini, yang banyak menyasar pengguna di Amerika Selatan, terus beroperasi meskipun server utama mereka dimatikan.
Apa Itu Astaroth dan Cara Kerjanya?
Astaroth adalah trojan yang diinstal melalui file phishing .lnk dan beroperasi di latar belakang untuk menangkap kredensial perbankan dan cryptocurrency. Malware ini berkomunikasi dengan server backend melalui proxy Ngrok dan dapat memperbarui konfigurasi servernya dengan menggunakan repositori GitHub saat server perintah dan kontrol utama terganggu.
Bagaimana Astaroth Memanfaatkan GitHub untuk Mengalihkan Server?
Astaroth tidak menyimpan malware yang dapat dieksekusi di GitHub; sebaliknya, para penyerang menyimpan file konfigurasi kecil yang mengarahkan host yang terinfeksi ke server bot alternatif. Ketika server perintah dan kontrol terputus, file konfigurasi yang disimpan di GitHub diperbarui dan memberikan alamat server baru, memungkinkan trojan untuk terhubung kembali dan melanjutkan pencurian data.
Target dan Kemampuan Utama Astaroth
Trojan ini melakukan keylogging, pengambilan kredensial, dan eksfiltrasi data melalui proxy Ngrok. Target utama adalah domain perbankan dan platform cryptocurrency, dengan prevalensi yang tinggi di Brasil dan operasi di negara-negara lain seperti Meksiko, Argentina, dan Chili.
Mengapa GitHub Disalahgunakan oleh Pengelola Malware?
Para penyerang memanfaatkan platform yang bereputasi seperti GitHub untuk menyimpan file konfigurasi yang tampak tidak berbahaya, karena platform tersebut sangat tersedia dan sering dipercaya oleh sistem pertahanan. Penyimpanan data konfigurasi saja mengurangi risiko terdeteksinya malware secara langsung dan memungkinkan operator dengan cepat mengubah titik akhir backend setelah penutupan.
Bukti Pendukung Temuan McAfee
Peneliti ancaman McAfee, termasuk Abhishek Karnik, telah mengamati file konfigurasi di repositori GitHub yang menunjuk ke endpoint Ngrok dan server alternatif. Mereka mencatat bahwa konfigurasi yang dihosting di repositori tersebut hanya mencakup petunjuk, bukan payload, dan perilaku ini mirip dengan kampanye sebelumnya seperti GitVenom dan insiden Redline Stealer.
Cara Melindungi Akun dari Astaroth Keylogger
Pengguna disarankan untuk tidak membuka file .lnk atau lampiran yang tidak terduga yang diterima melalui email, menjalankan antivirus terbaru, dan mengaktifkan autentikasi dua faktor pada akun perbankan dan cryptocurrency. Pengawasan transaksi akun juga penting untuk mendeteksi aktivitas yang mencurigakan.
Kesimpulan
Astaroth mengombinasikan metode distribusi phishing, keylogging, dan pemanfaatan GitHub untuk mempertahankan operasionalnya meskipun server mereka dimatikan. Pengguna dan tim keamanan harus memprioritaskan pencegahan, seperti kesadaran phishing dan keamanan endpoint. COINOTAG akan terus memperbarui laporan ini seiring dengan munculnya temuan baru.
About the Author
