Projetos Maliciosos no Visual Studio no GitHub Disseminam o Malware Keyzetsu
10 de Abril de 2024

Agentes de ameaça estão abusando de recursos de automação do GitHub e de projetos maliciosos do Visual Studio para disseminar uma nova variante do malware de sequestro de área de transferência "Keyzetsu" e roubar pagamentos em criptomoedas.

Os atacantes criam repositórios no GitHub com nomes que têm maiores chances de obter um bom rank nos resultados de busca e utilizam diversos métodos para aumentar artificialmente sua popularidade e visibilidade na plataforma.

Usuários que baixam arquivos desses repositórios se tornam infectados com malwares escondidos dentro dos arquivos de projeto do Visual Studio, sendo executados de forma furtiva durante a construção do projeto.

Segundo um novo relatório da Checkmarx, a campanha de malware utiliza múltiplos repositórios no GitHub nomeados com tópicos e projetos populares.

Os atacantes utilizaram GitHub Actions para atualizar automaticamente esses repositórios com uma frequência muito alta, modificando um arquivo de log com uma pequena alteração aleatória.

Isso é feito para que os repositórios apareçam em alta nos resultados de busca que são ordenados por "atualizações mais recentes."

Outro processo potencialmente automatizado é a criação de contas falsas no GitHub que adicionam estrelas fictícias nesses repositórios para criar uma falsa sensação de popularidade e confiabilidade em torno do projeto.

Uma evidência disso é que estas contas foram todas criadas recentemente.

A payload maliciosa usualmente é escondida dentro de eventos de construção em arquivos de projeto maliciosos do Visual Studio, embora a Checkmarx tenha observado algumas variações.

Um evento de construção do Visual Studio são comandos a serem executados em diferentes etapas do processo de construção.

Por exemplo, o projeto malicioso abaixo usa o PreBuildEvent para escrever o malware no disco e executá-lo antes da compilação do projeto.

O script que executa durante a construção do projeto consiste de um script em batch e um script PowerShell codificado em base64 que são executados sucessivamente para realizar as seguintes ações:

- Apagar arquivos temporários
- Recuperar o endereço IP e determinar se a localização é a Rússia
- Baixar arquivos criptografados de uma URL especificada dependendo do código do país
- Descriptografar, extrair e executar os arquivos baixados.

A Checkmarx reporta que, a partir de 3 de abril de 2024, a campanha mudou para usar uma payload criptografada em /7z contendo um executável de 750MB nomeado 'feedbackAPI.exe.'

O grande tamanho do arquivo foi alcançado adicionando zeros, inflando-o a ponto de ser muito grande para ser escaneado por ferramentas de segurança como o VirusTotal.

Isso inclui o ponto de upload alternativo do VirusTotal para análise, que pode receber até 650MB.

Em todos os casos, a payload final é uma variante do malware clipper de área de transferência Keyzetsu, que substitui o conteúdo da área de transferência do Windows com os próprios dados do atacante.

Este malware é tipicamente usado para trocar endereços de carteiras de criptomoeda copiados pela vítima pelos próprios endereços do atacante.

Isso permite que quaisquer pagamentos sejam desviados para carteiras sob controle dos atacantes.

Um clipper de área de transferência, ou sequestrador, é um malware que monitora a área de transferência do Windows para determinados dados e, quando detectado, troca-o por dados diferentes fornecidos pelo atacante.

Como os endereços de criptomoedas são tipicamente longos e difíceis de memorizar, a maioria das pessoas copia um endereço de outra página, site ou programa.

Este tipo de malware detecta o endereço copiado na área de transferência e o substitui pelo endereço do atacante, na esperança de que a vítima não perceba a troca.

Assim, quando o usuário cola o endereço em sua carteira para enviar uma transação de criptomoeda, os fundos são enviados para o endereço sob controle do atacante, em vez do destinatário pretendido.

Nos sistemas Windows, a payload cria uma tarefa agendada denominada "Feedback_API_VS_Services_Client", que executa o malware sem prompts de confirmação às 4 da manhã.

Para se proteger contra ataques à cadeia de suprimentos e código malicioso hospedado no GitHub, revise a atividade do repositório em busca de padrões suspeitos, como muitos commits ou estrelas recebidas por contas criadas todas em torno do mesmo período.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...