Grupuri de amenințări cunoscute sub numele de ‘Stargazer Goblin’ au creat un serviciu de distribuție malware (DaaS) folosind peste 3.000 de conturi false pe GitHub, care distribuie malware de furt de informații.
Serviciul de distribuție malware se numește Stargazers Ghost Network și utilizează repository-urile GitHub împreună cu site-urile WordPress compromise pentru a distribui arhive protejate cu parolă ce conțin malware. În cele mai multe cazuri, malware-urile sunt infostealers, cum ar fi RedLine, Lumma Stealer, Rhadamanthys, RisePro și Atlantida Stealer.
Datorită faptului că GitHub este un serviciu cunoscut și de încredere, oamenii îl tratează cu mai puțină suspiciune și ar putea fi mai predispuși să facă clic pe linkurile pe care le găsesc în repository-urile serviciului.
Check Point Research a descoperit operațiunea, care spune că este prima dată când un astfel de scheme organizate și la scară largă a fost documentată pe GitHub.
Creatorul operațiunii DaaS, Stargazer Goblin, a promovat activ serviciul de distribuție malware pe dark web începând din iunie 2023. Cu toate acestea, Check Point spune că există dovezi că este activ din august 2022.
Stargazer Goblin a stabilit un sistem în care creează sute de repository-uri folosind trei mii de conturi false ‘ghost’. Aceste conturi dau stele, fac fork și se abonează la repository-urile malware pentru a-și crește aparenta legitimă și pentru a le face mai susceptibile să apară în secțiunea de tendințe a GitHub-ului.
Repository-urile folosesc nume de proiecte și taguri care vizează interese specifice precum criptomonede, jocuri și rețele sociale.
Conturile ‘ghost’ sunt atribuite roluri distincte. Un grup servește șablonul de phishing, altul furnizează imaginea de phishing, iar un altul servește malware-ul, ceea ce oferă schemei un anumit nivel de reziliență operațională.
Check Point a observat un caz în care un videoclip de pe YouTube cu un tutorial de software redirectionează vizitatorii către același operator ca în unul dintre repository-urile GitHub ale ‘Stargazers Ghost Network’.
Cercetătorii notează că acesta ar putea fi unul dintre exemplele potențial multiple de canale folosite pentru a direcționa traficul către repository-urile de phishing sau site-urile de distribuție malware.
În ceea ce privește dimensiunea operațiunii și generarea de profit, Check Point estimează că actorul de amenințare a câștigat peste 100.000 de dolari de la lansarea serviciului.
În ceea ce privește malware-ul distribuit prin operațiunea Stargazers Ghost Network, Check Point spune că include RedLine, Lumma Stealer, Rhadamanthys, RisePro și Atlantida Stealer, printre altele.
Deși GitHub a luat măsuri împotriva multor repository-uri maligne și practic false, eliminând peste 1.500 începând cu mai 2024, Check Point spune că peste 200 sunt active în prezent și continuă să distribuie malware.
Utilizatorii care ajung pe repository-urile GitHub prin malvertising, rezultatele căutării Google, videoclipuri YouTube, Telegram sau rețele sociale sunt sfătuiți să fie foarte atenți la descărcarea de fișiere și la linkurile pe care le accesează.
Aceasta este valabil mai ales pentru arhivele protejate cu parolă, care nu pot fi scanate de software-ul antivirus. Pentru aceste tipuri de fișiere, se sugerează să le extrageți pe un VM și să le scanati conținutul extras cu un software antivirus pentru a verifica prezența de malware.
Dacă nu aveți la dispoziție o mașină virtuală, puteți folosi și VirusTotal, care va solicita parola unei arhive protejate pentru a putea scana conținutul său. Cu toate acestea, VirusTotal poate scana doar o arhivă protejată dacă conține un singur fișier.
Leave a Reply