GitHub, McAfee güvenlik araştırmacıları tarafından bilgilendirildikten sonra, bir bankacılık bilgisi hırsızı için komuta ve kontrol (C2) altyapısı görevi gören kötü amaçlı kod depolarını kaldırdı.
McAfee, Astaroth truva atının kimlik avı yoluyla yayıldığını ve Windows kısayolu aracılığıyla yürütülürse kurbanın sistemine kötü amaçlı yazılım yüklediğini söyledi.
Kullanıcıların bankacılık ve kripto para birimi web sitelerine ne zaman eriştiklerini tespit edebilen Astaroth, daha sonra bunlar için oturum açma kimlik bilgilerini kopyalıyor ve bunları Ngrok ters proxy aracı aracılığıyla saldırganlara gönderiyor.
McAfee’nin Tehdit Araştırma ekibi, kötü amaçlı yazılım yapılandırmalarını barındırmak için GitHub’dan yararlanan yeni bir Astaroth kampanyasını ortaya çıkardı. Enfeksiyon, sıkıştırılmış LNK’yi indiren bir kimlik avı bağlantısıyla başlar. Yürütüldüğünde Astaroth’u yükler. https://t.co/JknUDPnubl pic.twitter.com/yEdCAJGDjT
— Virüs Bülteni (@virusbtn) 13 Ekim 2025
Ngrok aracının bağlandığı C2 sunucuları kapatılmış olsa da Astaroth, GitHub’a bağlanarak siteden yeni yapılandırmalar almayı ve çalışmaya devam etmeyi başardı.
McAfee’nin araştırmacıları, “Bunu, evinizin yedek anahtarlarını mahallede saklayan bir suçlu gibi düşünün. Kilitlerinizi değiştirseniz bile, içeri girmenin başka bir yolu vardır” diye yazdı.
Astaroth esas olarak Güney Amerika’da, özellikle de Brezilya’da bulunan kullanıcıları hedef alıyor ancak İtalya ve Portekiz’e karşı da kullanılabilir.
Birkaç yıldır aktif durumda: Microsoft’un Defender Güvenlik Araştırma Ekibi, 2019’da Astaroth’u dosyasız yeteneklerini ayrıntılı olarak analiz ederek analiz etti.
Kötü amaçlı yazılımın Guildma olarak da biliniyor ve 2024 yılında Cisco’nun Talos araştırmacıları tarafından büyük ölçekli dağıtım için Google Cloud Run hizmetini kullandığı belgelendi.
GitHub geçmişte kötü amaçlı yazılım dağıtımı için de kullanılmıştı; Microsoft Security, bu yılın Mart ayında kullanıcıları kod deposuna yönlendiren karmaşık bir yeniden yönlendirme zincirini ortaya çıkardı.
Microsoft Security, GitHub’da barındırılan çok aşamalı verinin Lumma ve Doenerium gibi bilgi hırsızları olduğunu tespit etti.