Networking

Hampir 300 repo GitHub berpura-pura sebagai perangkat lunak yang sah untuk mendorong malware

3
hampir-300-repo-github-berpura-pura-sebagai-perangkat-lunak-yang-sah-untuk-mendorong-malware
Hampir 300 repo GitHub berpura-pura sebagai perangkat lunak yang sah untuk mendorong malware

Pelaku ancaman telah menerbitkan ratusan repositori GitHub palsu yang meniru perangkat lunak dan proyek keamanan yang sah untuk mendistribusikan malware pencuri info.

Kampanye ini menarik lalu lintas dari hasil pencarian untuk produk keamanan, layanan mata uang kripto, alat keuangan, utilitas pengembang, penyedia email aman, utilitas macOS, dan perangkat lunak game.

Malware ini mengumpulkan data dari lebih dari 19 browser web, mencuri informasi dari 32 dompet mata uang kripto, dan menyaring detail sensitif dari aplikasi perpesanan dan media sosial.

Perusahaan keamanan siber ArcticWolf mengidentifikasi aktivitas tersebut setelah menemukan bahwa salah satu produknya ditiru dalam kampanye yang dimulai pada 26 Juni.

Secara total, para peneliti menemukan 292 repositori palsu, masing-masing berisi file README dengan tautan unduhan yang mengarahkan pengunjung ke halaman unduhan berbahaya.

Repositori GitHub palsu menampilkan lencana keaslian
Sumber: Serigala Arktik

Laman landas menampilkan kata-kata dan pencitraan merek yang dirancang untuk menginspirasi kepercayaan, seperti tombol bernama “Unduh Konten Aman” dan lencana kepercayaan palsu.

Saat menganalisis kode untuk halaman pengiriman, para peneliti menyadari bahwa halaman tersebut bergantung pada “artefak HTML/JS bertemplat tunggal yang digunakan kembali di semua merek yang ditiru.”

” Skrip sisi kliennya mem-parsing jalur URL menjadi dua segmen – jalur[0] sebagai user_code (token jalur “berputar”, misalnya, yyvxx9rswefr, yang melacak repositori/redirector perujuk), dan jalur[1] sebagai domain perujuk (misalnya, Arctic-Wolf[.]github.io),” Kata Serigala Arktik.

Pencitraan merek yang terlihat berasal dari segmen kedua saat dirender, dengan mengganti tanda hubung dengan spasi dan menerapkan kapitalisasi judul yang tepat.

Halaman arahan berbahaya
Sumber: Serigala Arktik

Menurut para peneliti, halaman tersebut memberikan arsip ZIP berukuran besar, yang nama dan muatannya diubah kira-kira setiap menit. Di dalam arsip terdapat libcurl.dll yang telah di trojan dan pembaru WinGUP bertanda tangan yang sah dan mendapat nama berbeda berdasarkan produk yang ditiru.

“Saat pengguna menjalankan file yang dapat dieksekusi, gup.exe beban samping libcurl.dllyang menerjemahkan kode dan secara reflektif mengeksekusi pencuri informasi yang tertanam sepenuhnya di memori.”

Pencuri informasi tampaknya merupakan varian dari keluarga BoryptGrab, yang menargetkan data berikut dari sistem yang terinfeksi:

  • Kata sandi, cookie, informasi pembayaran, dan data lainnya dari 19 browser web
  • Data dari 32 merek dompet cryptocurrency
  • Sesi Telegram, token Discord, dan token sesi Steam
  • Kredensial untuk aplikasi perpesanan Max Meta
  • Konten Windows Credential Manager
  • File dari Desktop dan Dokumen yang nama atau ekstensinya menyarankan kata sandi, frasa pemulihan, dompet, cadangan, dll.
  • Tangkapan layar, detail sistem, dan daftar perangkat lunak yang diinstal

Para peneliti mencatat bahwa varian BoryptGrab ini menunjukkan kemampuan yang sebelumnya tidak terdokumentasikan untuk melewati Enkripsi Terikat Aplikasi Chrome melalui injeksi kode langsung ke dalam proses browser.

Data yang dicuri dikompresi sebelum dikirim ke server perintah dan kontrol (C2) yang berbasis di Rusia.

Eksekusi pencuri dan aliran pencurian data
Sumber: Serigala Arktik

Arctic Wolf melaporkan bahwa malware tersebut tidak membangun persistensi pada host dan malah dirancang untuk mengumpulkan data sebanyak mungkin dalam satu eksekusi.

Demikian pula, tidak ada lapisan anti-analisis sama sekali, dan direktori sementara tempat data yang dikumpulkan disimpan selama tahap eksfiltrasi tidak dihapus, meninggalkan bukti forensik.

Pada saat laporan Arctic Wolf dibuat, GitHub telah menghapus sebagian besar repositori berbahaya, meskipun para peneliti melaporkan bahwa beberapa lusin pengalihan Halaman GitHub masih tetap aktif.

Para peneliti tidak dapat mengaitkan kampanye tersebut dengan pelaku ancaman tertentu, meskipun mereka menilai bahwa operator tersebut kemungkinan besar berbahasa Rusia dan memiliki motivasi finansial.

Arctic Wolf menyimpulkan bahwa keberhasilan kampanye bergantung sepenuhnya pada kepercayaan pengguna pada “unduhan gratis” perangkat lunak premium dan menyarankan agar berhati-hati saat berinteraksi dengan halaman GitHub tidak resmi.

Itu peneliti berbagi aturan Yara untuk mendeteksi aktivitas ini bersama dengan indikator kompromi (IoC) yang terkait dengan BoryptGrab.

Uji setiap lapisan sebelum penyerang melakukannya

Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.

Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.

Dapatkan whitepapernya

Exit mobile version