被称为“Stargazer Goblin”的攻击者利用 GitHub 上的 3,000 多个虚假账户创建了一种恶意软件分发服务 (DaaS),用于推送窃取信息的恶意软件。
该恶意软件传播服务名为 Stargazers Ghost Network,它利用 GitHub 存储库以及受感染的 WordPress 网站来分发包含恶意软件的受密码保护的压缩档案。
在大多数情况下,恶意软件都是信息窃取程序,例如 RedLine、Lumma Stealer、Rhadamanthys、RisePro 和 Atlantida Stealer。
GitHub 存储库推送受密码保护的包含恶意软件的档案,来源:Check Point
由于 GitHub 是一个知名的、值得信赖的服务,人们对它的怀疑较少,并且更有可能点击他们在GitHub存储库中找到的链接。
Check Point Research发现了这一行动,并表示这是首次记录到在 GitHub 上运行如此有组织、大规模的计划。
Check Point Research 的报告(https://research.checkpoint.com/2024/stargazers-ghost-network/)解释道:“Stargazers Ghost Network 发起的活动以及通过该服务分发的恶意软件非常成功。”
“在短时间内,数千名受害者在没有怀疑任何恶意意图的情况下安装了看似合法的存储库中的软件。以受害者为导向的网络钓鱼模板允许威胁组织使用特定的个人资料和在线账户感染受害者,从而使感染更有价值。”
GitHub 幽灵账户传播恶意软件
DaaS 行动的创建者 Stargazer Goblin 自 2023 年 6 月以来一直在暗网上积极推广这个恶意软件分发服务。Check Point 表示有证据表明它自 2022 年 8 月以来一直活跃。
威胁行为者在暗网上的广告,来源:Check Point
Stargazer Goblin 建立了一个系统,他们使用3000个虚假的“幽灵”账户创建了数百个存储库。这些账户会为恶意存储库加注星标、分叉和订阅,以增加其表面合法性,并使其更有可能出现在 GitHub 的热门部分。
参与该计划的幽灵 GitHub 账户,来源:Check Point
这些存储库使用针对加密货币、游戏和社交媒体等特定兴趣的项目名称和标签。
针对不同社交媒体平台用户的网络钓鱼模板,来源:Check Point
“幽灵”账户被赋予了不同的角色。一组账户提供钓鱼模板,另一组提供钓鱼图片,第三组提供恶意软件,这让该方案具有一定程度的运营弹性。
“为恶意软件提供服务的第三个账户更容易被检测到。当这种情况发生时,GitHub 会禁止整个帐户、存储库和相关版本。”研究员Antonis Terefos解释道。
“为了应对此类行为,Stargazer Goblin 会更新第一个帐户的网络钓鱼存储库,其中包含指向新恶意版本的链接。当恶意软件服务帐户被禁止时,这可使网络继续运行,并将损失降至最低。”
Stargazers 角色概述资料,来源:Check Point
Check Point 发现一个 YouTube 视频,其中的软件教程链接与“Stargazers Ghost Network”GitHub 存储库中的操作员相同。
研究人员指出,它可能是用于将流量引导至网络钓鱼存储库或恶意软件分发站点的多个渠道示例之一。
就该行动的规模及其产生的利润而言,Check Point 估计,自该服务推出以来,这名攻击者已经赚取了超过 10 万美元。
通过 Stargazers Ghost Network 的行动分发的恶意软件,包括 RedLine、Lumma Stealer、Rhadamanthys、RisePro 和 Atlantida Stealer 等。
在 Check Point 报告中展示的一个示例攻击链中,GitHub 存储库将访问者重定向到受感染的 WordPress 网站,访问者从那里下载包含带有 VBScript 的 HTA 文件的 ZIP 存档。
Atlantida Stealer 攻击链,来源:Check Point
VBScript 触发两个连续的 PowerShell 脚本的执行,最终导致 Atlantida Stealer 的部署。
尽管 GitHub 已对许多恶意和本质上虚假的存储库采取了行动,自 2024 年 5 月以来已删除了 1,500 多个存储库,但 Check Point 表示,目前仍有超过 200 个存储库活跃并继续传播恶意软件。
GitHub 上每日新增的 Stargazer 存储库,来源:Check Point
建议通过广告、Google 搜索结果、YouTube 视频、Telegram 或社交媒体访问 GitHub 存储库的用户在下载文件和点击 URL 时要格外小心。
受密码保护的档案尤其如此,防病毒软件无法扫描这些档案。对于这些类型的文件,建议您在虚拟机上提取它们,并使用防病毒软件扫描提取的内容以检查是否存在恶意软件。
如果没有虚拟机,您也可以使用VirusTotal,它会提示输入受保护存档的密码,以便扫描其内容。但是,VirusTotal 只能扫描包含单个文件的受保护存档。
技术报告:https://research.checkpoint.com/2024/stargazers-ghost-network/
新闻链接:
https://www.bleepingcomputer.com/news/security/over-3-000-github-accounts-used-by-malware-distribution-service/
转自:https://mp.weixin.qq.com/s?__biz=MzI2NzAwOTg4NQ==&mid=2649791849&idx=1&sn=649babc3c37f31121baf0e4ea7c99463&chksm=f281575bc5f6de4d7999d94944a9726654719b85c5b7e791e205b4e5b0711cf8e697e745abcc&mpshare=1&scene=1&srcid=0804uu4w3mJB7hO08saE2i5C&sharer_shareinfo=d89d050da251ef8bdeba7d3666694961&sharer_shareinfo_first=d89d050da251ef8bdeba7d3666694961&version=4.1.28.6010&platform=win&nwr_flag=1#wechat_redirect
转载请注明:jinglingshu的博客 » Check Point警告:3,000 多个GitHub幽灵帐户用于分发恶意软件