Pesquisadores de cibersegurança encontraram vários repositórios do GitHub que oferecem software crackeado sendo usados para entregar um malware de roubo de informações chamado RisePro.
A campanha, codinome gitgub, inclui 17 repositórios associados a 11 contas diferentes, de acordo com a G DATA.
Os repositórios em questão foram removidos pela subsidiária da Microsoft.
"Os repositórios são parecidos, apresentando um arquivo README.md com a promessa de software crackeado gratuito", disse a empresa alemã de cibersegurança.
"Círculos verdes e vermelhos são comumente usados no GitHub para mostrar o status das construções automáticas.
Os atores da ameaça gitgub adicionaram quatro círculos Unicode verdes em seu README.md que fingem mostrar um status junto a uma data atual e fornecer uma sensação de legitimidade e recenticidade."
A lista dos repositórios é a seguinte, cada um deles apontando para um link de download ("digitalxnetwork[.]com") contendo um arquivo de arquivo RAR -
andreastanaj/AVAST
andreastanaj/Sound-Booster
aymenkort1990/fabfilter
BenWebsite/-IObit-Smart-Defrag-Crack
Faharnaqvi/VueScan-Crack
javisolis123/Voicemod
lolusuary/AOMEI-Backupper
lolusuary/Daemon-Tools
lolusuary/EaseUS-Partition-Master
lolusuary/SOOTHE-2
mostofakamaljoy/ccleaner
rik0v/ManyCam
Roccinhu/Tenorshare-Reiboot
Roccinhu/Tenorshare-iCareFone
True-Oblivion/AOMEI-Partition-Assistant
vaibhavshiledar/droidkit
vaibhavshiledar/TOON-BOOM-HARMONY
O arquivo RAR, que requer que as vítimas forneçam uma senha mencionada no arquivo README.md do repositório, contém um arquivo de instalação, que descompacta o payload da próxima etapa, um arquivo executável que é inflado para 699 MB na tentativa de travar ferramentas de análise como o IDA Pro.
O conteúdo real do arquivo - equivalente a meros 3,43 MB - age como um carregador para injetar o RisePro (versão 1.6) em AppLaunch.exe ou RegAsm.exe.
RisePro ganhou destaque no final de 2022 quando foi distribuído usando um serviço de download de malware de pagamento por instalação (PPI) conhecido como PrivateLoader.
Escrito em C++, é projetado para coletar informações sensíveis de hosts infectados e exfiltrá-las para dois canais do Telegram, que são frequentemente usados por atacantes para extrair dados das vítimas.
Curiosamente, pesquisas recentes da Checkmarx mostraram que é possível infiltrar e encaminhar mensagens de um bot atacante para outra conta do Telegram.
O desenvolvimento ocorre à medida que a Splunk detalhou as táticas e técnicas adotadas pelo Snake Keylogger, descrevendo-o como um malware de roubo que "utiliza uma abordagem multifacetada para a exfiltração de dados."
"O uso de FTP facilita a transferência segura de arquivos, enquanto o SMTP permite o envio de e-mails contendo informações sensíveis", disse a Splunk.
"Além disso, a integração com o Telegram oferece uma plataforma de comunicação em tempo real, permitindo a transmissão imediata de dados roubados."
Os malwares de roubo se tornaram cada vez mais populares, muitas vezes se tornando o principal vetor para ransomware e outros grandes vazamentos de dados.
Segundo um relatório da Specops publicado esta semana, RedLine, Vidar e Raccoon surgiram como os ladrões mais utilizados, com o RedLine sozinho sendo responsável pelo roubo de mais de 170.3 milhões de senhas nos últimos seis meses.
"O atual aumento de malwares de roubo de informações é um lembrete severo das ameaças digitais constantemente em evolução", observou a Flashpoint em janeiro de 2024.
"Embora a motivação por trás de seu uso seja quase sempre financeira, os stealers estão continuamente se adaptando e sendo mais acessíveis e fáceis de usar."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...