Специалисты Check Point сообщают, что группировка Stargazer Goblin создала масштабный сервис для распространения малвари и использует для этого более 3000 аккаунтов на GitHub, через которые в настоящее время доставляются инфостилеры.

Сервис хакеров называется Stargazers Ghost Network. Он использует репозитории на GitHub и взломанные сайты под управлением WordPress для распространения защищенных паролем архивов, содержащих малварь. В большинстве случаев вредоносные программы представляют собой инфостилеры (включая RedLine, Lumma, Rhadamanthys, RisePro и Atlantida).

Исследователи пишут, что это первый случай обнаружения настолько хорошо организованной и крупной преступной схемы, работающей через GitHub.

«Кампании, проводимые Stargazers Ghost Network, и вредоносное ПО, распространяемое через этот сервис, чрезвычайно успешны, —  гласит отчете Check Point. — За короткий промежуток времени тысячи жертв установили ПО из легитимных на первый взгляд репозиториев, не подозревая о злом умысле. Ориентированные на жертв фишинговые шаблоны позволяют злоумышленникам атаковать пользователей с определенными профилями и онлайн-аккаунтами, что делает такие заражения еще более ценными».

С июня 2023 года участники Stargazer Goblin активно рекламируют свой сервис по распространению малвари в даркнете. Однако исследователи пишут, что обнаружили доказательства его активности еще в августе 2022 года, и полагают, что с момента запуска сервиса хакеры заработали более 100 000 долларов.

Реклама Stargazers Ghost Network в даркнете

По данным специалистов, Stargazer Goblin разработали схему, в рамках которой они создают сотни репозиториев, используя для этого 3000 «аккаунтов-призраков». Такие аккаунты добавляют звезды, создают форки и подписываются на вредоносные репозитории, чтобы повысить их видимую легитимность и увеличить вероятность попадания в раздел с трендами на GitHub.

«Аккаунты-призраки»

Вредоносные репозитории используют названия реальных проектов и теги, ориентированные на конкретные интересы, например криптовалюты, игры и социальные сети.

Различные фишинговые шаблоны

«Аккаунты-призраки» выполняют разные роли. Так, одна группа отвечает за фишинговый шаблон, другая — за фишинговые изображения, а третья — за саму малварь, что придает схеме определенную устойчивость.

«Третий тип аккаунтов, который распространяет вредоносное ПО, с большей вероятностью будет обнаружен. Когда это происходит, GitHub банит учетную запись, репозиторий и связанные с ним релизы. В ответ на это Stargazer Goblin обновляет фишинговый репозиторий первого типа аккаунтов ссылкой на новый активный вредоносный релиз. Это позволяет схеме продолжать работу с минимальными потерями, когда распространяющий вредоносное ПО аккаунт оказывается заблокирован».

Распределение ролей аккаунтов

В Check Point рассказывают, что обнаружили на YouTube туториал для неназванного ПО, который ссылался на один из GitHub-репозиториев Stargazers Ghost Network. Исследователи считают, что это мог быть один из многочисленных каналов, используемых для перенаправления трафика на фишинговые репозитории и сайты, распространяющие малварь.

В одном из приведенных исследователями примеров, GitHub-репозиторий перенаправлял посетителей на взломанный сайт на базе WordPress, откуда жертвам предлагалось загрузить ZIP-архив, содержащий HTA-файл с VBScript. Этот VBScript инициировал выполнение двух PowerShell-скриптов, которые в итоге приводили к развертыванию стилера Atlantida в системе пользователя.

Схема описанной атаки

Хотя специалисты GitHub активно борются с многочисленными вредоносными репозиториями, удалив более 1500 из них с мая 2024 года, в Check Point отмечают, что более 200 репозиториев по-прежнему активны и продолжают распространять вредоносное ПО.

Количество вредоносных репозиториев, связанных с Stargazers Ghost Network

Исследователи рекомендуют пользователям, пришедшим на GitHub через вредоносную рекламу, результаты поиска Google, видеоролики на YouTube, Telegram или социальные сети, быть очень осторожными при загрузке файлов и переходе по сслыкам.

Особенно это касается защищенных паролем архивов, которые не могут быть проверены антивирусным ПО. Такие файлы рекомендуется распаковывать на виртуальной машине и проверять содержимое антивирусом. А если виртуальная машина недоступна, можно воспользоваться VirusTotal.

Защищенный паролем архив с малварью

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии