Actorii de amenințare abuzează de funcțiile de automatizare GitHub și de proiectele malitioase Visual Studio pentru a distribui o nouă variantă a malware-ului de tip „Keyzetsu”, care fură plăți în criptomonede.
Atacatorii creează depozite GitHub cu nume care au o șansă mai mare de a fi bine clasate în rezultatele căutării și folosesc diverse metode pentru a-și crește artificial popularitatea și vizibilitatea pe platformă.
Utilizatorii care descarcă fișiere din aceste depozite devin infectați cu malware ascuns în fișierele de proiect Visual Studio și executat fără să fie detectat în timpul construirii proiectului.
Potrivit unui nou raport de la Checkmarx, campania malware utilizează mai multe depozite GitHub numite după subiecte și proiecte populare.
Atacatorii au folosit acțiuni GitHub pentru a actualiza automat aceste depozite cu o frecvență foarte mare prin modificarea unui fișier jurnal cu o schimbare aleatoare minoră. Acest lucru este făcut astfel încât depozitele să fie bine clasate în rezultatele căutării care sortează după „cel mai recent actualizat”.
Un alt proces potențial automatizat este crearea de conturi GitHub false care adaugă stele false acestor depozite pentru a crea o falsă senzație de popularitate și încredere în jurul proiectului. Un indiciu este că aceste conturi au fost create recent.
Încărcătura malware-ului este de obicei ascunsă în evenimente de construire în fișierele de proiect Visual Studio malitioase, deși Checkmarx a observat unele variații.
Un eveniment de construire Visual Studio sunt comenzi care trebuie executate în diferite etape ale procesului de construire. De exemplu, proiectul malitios de mai jos folosește PreBuildEvent pentru a scrie malware-ul pe disc și a-l executa înainte ca proiectul să fie compilat.
Scriptul care se execută în timpul construirii proiectului constă într-un script batch și un script PowerShell codificat în base64 care se execută succesiv pentru a efectua următoarele acțiuni:
Checkmarx raportează că, începând cu 3 aprilie 2024, campania a trecut la utilizarea unei încărcături criptate / 7z care conține un executabil de 750MB numit ‘feedbackAPI.exe’.
Dimensiunea mare a fișierului a fost realizată prin adăugarea de zerouri, umflându-l până la punctul în care este prea mare pentru a fi scanat de instrumente de securitate precum VirusTotal. Acest lucru include punctul lor alternativ de încărcare pentru analiză, care poate ajunge până la 650MB.
În toate cazurile, încărcătura finală este o variantă a malware-ului de tip clipboard clipper Keyzetsu, care înlocuiește conținutul clipboard-ului Windows cu datele atacatorului.
Acest malware este folosit în mod obișnuit pentru a schimba adresele portofelelor de criptomonede copiate de victimă cu adresele proprii ale atacatorului. Acest lucru permite oricăror plăți să fie redirecționate către portofele aflate sub controlul atacatorilor.
Un clipboard clipper sau hijacker este un malware care monitorizează Clipboard-ul Windows pentru anumite date și, atunci când le detectează, le schimbă cu alte date furnizate de atacator.
Deoarece adresele de criptomonede sunt în mod obișnuit lungi și greu de reținut, majoritatea oamenilor copiază o adresă de pe o altă pagină, site sau program. Acest tip de malware detectează adresa copiată în clipboard și o înlocuiește cu adresa propriu-zisă a atacatorului în speranța că victima nu va observa schimbul.
Apoi, atunci când utilizatorul lipește adresa în portofelul lor pentru a trimite o tranzacție cu criptomonede, fondurile sunt trimise către adresa aflată sub controlul atacatorului în locul destinatarului intenționat.
Pe sistemele Windows, încărcătura creează o sarcină programată numită „Feedback_API_VS_Services_Client”, care execută malware-ul fără prompturi de confirmare la 4 dimineața.
Pentru a vă proteja împotriva atacurilor de aprovizionare și a codului malitios găzduit pe GitHub, revizuiți activitatea depozitului pentru modele suspecte, cum ar fi multe angajamente sau stele primite de conturi create toate în același timp.
Microsoft rezolvă două zero-day-uri Windows exploatate în atacuri malware
Hackerii RUBYCARP sunt legați de un botnet de criptomonede de 10 ani
Acuity confirmă că hackerii au furat date guvernamentale non-sensibile din depozitele GitHub
Noul malware Latrodectus înlocuiește IcedID în încălcările de rețea
Visa avertizează cu privire la o nouă variantă de malware JSOutProx care vizează organizațiile financiare
Leave a Reply