Der Astaroth Banking Trojaner zielt auf Bank- und Krypto-Anmeldedaten ab. Er verbreitet sich über Phishing-E-Mails und nutzt GitHub, um seine Infrastruktur zu sichern. Die Malware ist bekannt für ihre Anti-Analyse-Techniken.
Der Astaroth Banking Trojaner wird primär über Phishing-E-Mails verbreitet. Diese E-Mails enthalten schädliche Windows-Verknüpfungsdateien (.lnk), die die Opfer zum Herunterladen verleiten.
Nach der Ausführung der .lnk-Datei installiert sich die Astaroth-Malware auf dem System des Benutzers. Astaroth überwacht dann die Aktivitäten des Benutzers im Hintergrund und erkennt, wenn dieser auf Banking- oder Kryptowährungs-Websites zugreift.
Die gestohlenen Anmeldedaten werden mittels Keylogging erfasst und über einen Ngrok Reverse Proxy an die Angreifer gesendet.
Astaroth nutzt GitHub-Repositories, um Konfigurationsdateien zu hosten. Die Malware verwendet Steganografie, um diese Informationen in Bildern zu verstecken, die auf GitHub gehostet werden.
Durch die Nutzung von GitHub kann sich Astaroth schnell anpassen und weiterhin funktionieren, selbst wenn seine Hauptserver kompromittiert werden. Dies erhöht die Resilienz der Malware erheblich.
Astaroth ist in Delphi geschrieben und verwendet verschiedene Anti-Analyse-Techniken, um seine Entdeckung zu erschweren. Es fährt das System herunter, wenn es erkennt, dass es analysiert wird.
Astaroth zielte primär auf Südamerika ab, einschließlich Mexiko, Uruguay, Argentinien und anderer Länder. Es vermeidet aber Systeme in den Vereinigten Staaten und anderen englischsprachigen Ländern.
Um sich vor Astaroth zu schützen, sollten Benutzer keine Anhänge oder Links in E-Mails von unbekannten Quellen öffnen und ihre Antivirensoftware auf dem neuesten Stand halten. Die Verwendung von Zwei-Faktor-Authentifizierung (2FA) auf Banking-Websites wird ebenfalls empfohlen.
