Atores de ameaça conhecidos como 'Stargazer Goblin' criaram um serviço de distribuição de malware como serviço (DaaS) utilizando mais de 3.000 contas falsas no GitHub para disseminar malware de roubo de informações.
O serviço de entrega de malware é chamado Stargazers Ghost Network e utiliza repositórios do GitHub, além de sites WordPress comprometidos, para distribuir arquivos protegidos por senha que contêm malware.
Na maioria dos casos, os malwares são infostealers, como RedLine, Lumma Stealer, Rhadamanthys, RisePro e Atlantida Stealer.
Como o GitHub é um serviço bem conhecido e confiável, as pessoas o tratam com menos suspeita e podem estar mais inclinadas a clicar em links encontrados nos repositórios do serviço.
A Check Point Research descobriu a operação, dizendo ser a primeira vez que um esquema tão organizado e de grande escala foi documentado funcionando no GitHub.
"As campanhas realizadas pela Stargazers Ghost Network e malware distribuídos por meio deste serviço são extremamente bem-sucedidas", explica o relatório da Check Point Research.
Em um curto período de tempo, milhares de vítimas instalaram softwares de repositórios que parecem ser legítimos sem suspeitar de qualquer intenção maliciosa.
Os templates de phishing focados nas vítimas permitem que os atores de ameaças infectem vítimas com perfis e contas online específicos, tornando as infecções ainda mais valiosas.
O criador da operação DaaS, Stargazer Goblin, vem promovendo ativamente o serviço de distribuição de malware na dark web desde junho de 2023.
No entanto, a Check Point diz que há evidências de que está ativo desde agosto de 2022.
Stargazer Goblin estabeleceu um sistema onde criam centenas de repositórios utilizando três mil contas 'fantasma' falsas.
Essas contas dão estrela, fazem fork e se inscrevem em repositórios maliciosos para aumentar sua aparente legitimidade e torná-los mais propensos a aparecer na seção de tendências do GitHub.
Os repositórios usam nomes de projetos e tags que visam interesses específicos como criptomoedas, jogos e mídia social.
As contas 'fantasma' têm papéis distintos.
Um grupo serve o template de phishing, outro fornece a imagem de phishing e um terceiro serve o malware, o que confere à estratégia um certo nível de resiliência operacional.
"A terceira conta, que serve o malware, é mais propensa a ser detectada. Quando isso acontece, o GitHub bane toda a conta, repositório e lançamentos associados", explica o pesquisador Antonis Terefos.
Em resposta a essas ações, Stargazer Goblin atualiza o repositório de phishing da primeira conta com um novo link para um novo lançamento malicioso ativo.
Isso permite que a rede continue operando com perdas mínimas quando uma conta que serve malware é banida.
A Check Point observou um caso de um vídeo no YouTube com um tutorial de software vinculado ao mesmo operativo de um dos repositórios do 'Stargazers Ghost Network' no GitHub.
Os pesquisadores observam que poderia ser um dos potencialmente múltiplos exemplos de canais usados para direcionar tráfego para repositórios de phishing ou sites de distribuição de malware.
Quanto ao tamanho da operação e sua geração de lucro, a Check Point estima que o ator de ameaça ganhou mais de $100,000 desde o lançamento do serviço.
Quanto ao malware distribuído pela operação da Stargazers Ghost Network, a Check Point diz que inclui RedLine, Lumma Stealer, Rhadamanthys, RisePro e Atlantida Stealer, entre outros.
Em um exemplo de cadeia de ataque apresentado no relatório da Check Point, o repositório do GitHub redireciona os visitantes para um site WordPress comprometido, de onde baixam um arquivo ZIP contendo um arquivo HTA com VBScript.
O VBScript dispara a execução de dois scripts PowerShell sucessivos que, finalmente, levam ao desdobramento do Atlantida Stealer.
Embora o GitHub tenha tomado medidas contra muitos dos repositórios maliciosos e essencialmente falsos, derrubando mais de 1.500 desde maio de 2024, a Check Point diz que mais de 200 estão atualmente ativos e continuam a distribuir malware.
Usuários que chegam nos repositórios do GitHub por meio de malvertising, resultados de pesquisa do Google, vídeos no YouTube, Telegram ou mídia social são aconselhados a ter muito cuidado com downloads de arquivos e os URLs em que clicam.
Isso é especialmente verdadeiro para arquivos protegidos por senha, que não podem ser escaneados por softwares antivírus.
Para esses tipos de arquivos, sugere-se extraí-los em uma VM e escanear o conteúdo extraído com software antivírus para verificar se há malware.
Se uma máquina virtual não estiver disponível, você também pode usar o VirusTotal, que solicitará a senha de um arquivo protegido para poder escanear seu conteúdo.
No entanto, o VirusTotal só pode escanear um arquivo protegido se ele contiver um único arquivo.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...