Edgen Crypto·Oct 11 2025, 19:07TL;DR
Astaroth 뱅킹 트로이 목마는 주로 남미 사용자를 대상으로 암호화폐 및 은행 자격 증명을 적극적으로 훔치고 있으며, GitHub를 활용하여 탄력적인 서버 구성을 가능하게 합니다.
뒤로
뒤로
Astaroth 뱅킹 트로이 목마, GitHub를 활용하여 암호화폐 자격 증명 지속적으로 탈취
Edgen Crypto·Oct 11 2025, 19:07
요약
Astaroth 뱅킹 트로이 목마는 GitHub를 악용하여 운영을 유지하고 있으며, 주로 남미 사용자로부터 암호화폐 및 은행 자격 증명을 적극적으로 탈취하여 디지털 자산 보안에 대한 시장의 경계심을 높이고 있습니다.
상세 이벤트
Astaroth 뱅킹 트로이 목마는 주로 브라질, 멕시코, 우루과이, 아르헨티나, 파라과이, 칠레, 볼리비아, 페루, 에콰도르, 콜롬비아, 베네수엘라, 파나마를 포함한 남미 국가를 표적으로 하는 정교한 비밀번호 탈취 악성 코드 변종입니다. 포르투갈과 이탈리아도 공격할 수 있지만, 최근 캠페인에서는 브라질에 강하게 집중하고 있습니다. 감염 과정은 일반적으로 압축된 Windows 바로 가기(.lnk) 파일 다운로드를 유도하는 링크가 포함된 피싱 이메일로 시작됩니다. 일단 설치되면 Astaroth는 피해자 장치 백그라운드에서 작동하며, 키 로깅을 사용하여 은행 및 암호화폐 자격 증명을 캡처합니다.
Astaroth의 독특한 특징은 운영 탄력성을 확보하기 위해 GitHub 저장소를 남용한다는 것입니다. Astaroth는 전통적인 명령 및 제어(C2) 서버에만 의존하여 제거될 수 있는 대신, GitHub에 악성 코드 구성을 호스팅합니다. 심지어 스테가노그래피를 사용하여 이러한 구성을 이미지 내에 embed 할 수도 있습니다. 이 메커니즘은 사이버 보안 회사 또는 법 집행 기관의 개입으로 인해 주요 C2 인프라에 접근할 수 없게 되면 트로이 목마가 GitHub에서 새로운 구성을 가져올 수 있도록 하여 지속적인 운영을 보장합니다. 도난당한 정보는 Ngrok 역방향 프록시를 사용하여 공격자에게 유출됩니다.
이 악성 코드는 특히 유명 암호화폐 관련 도메인과 관련된 자격 증명을 표적으로 삼도록 설계되었습니다. 여기에는 etherscan.io, binance.com, bitcointrade.com.br, metamask.io, foxbit.com.br, 그리고 localbitcoins.com이 포함됩니다.
시장 영향
Astaroth 트로이 목마가 야기하는 지속적인 위협은 여러 시장에 영향을 미칩니다. 단기적으로는 암호화폐 환경 전반에 걸쳐 사용자 주의가 증가하고 영향을 받는 개인들의 추가적인 재정적 손실 가능성을 예고합니다. 디지털 자산에 대한 신뢰가 약화되는 것은 신규 진입자를 저해하고 더 넓은 채택 추세에 영향을 미칠 수도 있습니다. 장기적으로 이러한 사건들은 모든 암호화폐 플랫폼과 디지털 지갑 전반에 걸쳐 향상된 사이버 보안 조치를 필요로 하며 촉진할 가능성이 있습니다. 광범위한 재정적 손실 가능성과 암호화폐 보유의 보안에 대한 일반적인 신뢰 약화로 인해 시장 심리는 여전히 약세입니다.
전문가 의견
McAfee 고급 위협 연구팀은 최근 Astaroth 캠페인을 밝혀내는 데 중요한 역할을 했습니다. 그들의 발견에 따라 McAfee는 악성 저장소를 GitHub에 보고했으며, 이로 인해 저장소가 제거되고 트로이 목마의 운영이 일시적으로 중단되었습니다. 발견에 참여한 연구원 Abhishek Karnik은 도난당한 자금 또는 암호화폐의 총액에 대한 특정 데이터는 없지만, 이 악성 코드는