Grėsmių veikėjai, žinomi kaip „Stargazer Goblin“, sukūrė kenkėjišką programą „Distribution-as-a-Service“ (DaaS) iš daugiau nei 3 000 netikrų paskyrų „GitHub“, kurios siunčia informaciją vagiančias kenkėjiškas programas.
Kenkėjiškų programų pristatymo paslauga vadinama „Stargazers Ghost Network“ ir naudoja „GitHub“ saugyklas kartu su pažeistomis „WordPress“ svetainėmis, kad platintų slaptažodžiu apsaugotus archyvus, kuriuose yra kenkėjiškų programų. Daugeliu atvejų kenkėjiška programa yra informacijos vagystė, pvz., RedLine, Lumma Stealer, Rhadamanthys, RisePro ir Atlantida Stealer.
Kadangi „GitHub“ yra gerai žinoma, patikima paslauga, žmonės į ją žiūri mažiau įtariai ir gali labiau spustelėti nuorodas, kurias randa paslaugos saugyklose.
„Check Point Research“ atrado operaciją, kuri sako, kad tai yra pirmas kartas, kai dokumentuojama, kad tokia organizuota ir didelio masto schema veikia „GitHub“.
„Stargazers Ghost Network vykdomos kampanijos ir kenkėjiškos programos, platinamos per šią paslaugą, yra itin sėkmingos“, – aiškinama „Check Point Research“ ataskaitoje.
„Per trumpą laiką tūkstančiai aukų įdiegė programinę įrangą iš, atrodo, teisėtos saugyklos, neįtardamos jokių piktavališkų ketinimų. Labai į aukas orientuoti sukčiavimo šablonai leidžia grėsmės veikėjams užkrėsti aukas konkrečiais profiliais ir internetinėmis paskyromis, taip užkrėsdami dar vertingesnis“.
„GitHub“ „vaiduokliai“ platina kenkėjiškas programas
DaaS operacijos kūrėjas Stargazer Goblin nuo 2023 m. birželio aktyviai reklamuoja kenkėjiškų programų platinimo paslaugą tamsiajame internete. Tačiau „Check Point“ teigia, kad yra įrodymų, kad ji veikia nuo 2022 m. rugpjūčio mėn.
„Stargazer Goblin“ sukūrė sistemą, kurioje jie sukuria šimtus saugyklų naudodami tris tūkstančius netikrų „vaiduokliškų“ paskyrų. Šios paskyros žymimos žvaigždutėmis, šakotėmis ir prenumeruojamos kenkėjiškų saugyklų, kad padidintų jų akivaizdų teisėtumą ir padidintų tikimybę, kad jos bus rodomos „GitHub“ tendencijų skiltyje.
Saugyklose naudojami projektų pavadinimai ir žymos, skirtos konkrečiais pomėgiais, pvz., kriptovaliuta, žaidimai ir socialinė žiniasklaida.
„Vaiduoklių“ paskyroms priskiriami skirtingi vaidmenys. Viena grupė aptarnauja sukčiavimo šabloną, kita – sukčiavimo vaizdą, o trečia – kenkėjišką programinę įrangą, kuri suteikia schemai tam tikrą veikimo atsparumo lygį.
„Trečioji paskyra, kuri aptarnauja kenkėjišką programą, greičiausiai bus aptikta. Kai taip nutinka, „GitHub“ uždraudžia visą paskyrą, saugyklą ir susijusius leidimus“, – aiškina tyrėjas Antonis Terefosas.
„Reaguodama į tokius veiksmus, Stargazer Goblin atnaujina pirmosios paskyros sukčiavimo saugyklą su nauja nuoroda į naują aktyvų kenkėjišką leidimą. Tai leidžia tinklui toliau veikti su minimaliais nuostoliais, kai uždrausta kenkėjiškų programų aptarnaujanti paskyra.
„Check Point“ pastebėjo atvejį, kai „YouTube“ vaizdo įrašas su programinės įrangos mokymo programa buvo nukreipta į tą patį operatorių, kaip ir vienoje iš „Stargazers Ghost Network“ GitHub saugyklų.
Tyrėjai pažymi, kad tai gali būti vienas iš daugelio kanalų, naudojamų srautui nukreipti į sukčiavimo saugyklas arba kenkėjiškų programų platinimo svetaines, pavyzdžių.
Kalbant apie operacijos dydį ir pelno generavimą, „Check Point“ apskaičiavo, kad grėsmės veikėjas nuo paslaugos pradžios uždirbo daugiau nei 100 000 USD.
Kalbant apie tai, kokios kenkėjiškos programos platinamos per Stargazers Ghost Network veiklą, „Check Point“ teigia, kad ji apima „RedLine“, „Lumma Stealer“, „Rhadamanthys“, „RisePro“ ir „Atlantida Stealer“.
Viename „Check Point“ ataskaitoje pateiktame atakų grandinės pavyzdyje „GitHub“ saugykla nukreipia lankytojus į pažeistą „WordPress“ svetainę, iš kurios jie atsisiunčia ZIP archyvą, kuriame yra HTA failas su VBScript.
VBScript suaktyvina dviejų iš eilės „PowerShell“ scenarijų vykdymą, kurie galiausiai lemia „Atlantida Stealer“ diegimą.
Nors „GitHub“ ėmėsi veiksmų prieš daugelį kenkėjiškų ir iš esmės suklastotų saugyklų, kurių nuo 2024 m. gegužės mėn. buvo panaikinta daugiau nei 1 500, „Check Point“ teigia, kad šiuo metu daugiau nei 200 yra aktyvių ir toliau platina kenkėjiškas programas.
Naudotojams, atvykstantiems į „GitHub“ saugyklas per kenkėjišką reklamą, „Google“ paieškos rezultatus, „YouTube“ vaizdo įrašus, „Telegram“ ar socialinę žiniasklaidą, patariama būti labai atsargiems atsisiunčiant failus ir paspaudžiamus URL.
Tai ypač pasakytina apie slaptažodžiu apsaugotus archyvus, kurių negali nuskaityti antivirusinė programinė įranga. Šių tipų failus rekomenduojama išskleisti virtualioje mašinoje ir nuskaityti ištrauktą turinį antivirusine programine įranga, kad patikrintumėte, ar nėra kenkėjiškų programų.
Jei virtualios mašinos nėra, taip pat galite naudoti „VirusTotal“, kuri paprašys įvesti apsaugoto archyvo slaptažodį, kad galėtų nuskaityti jo turinį. Tačiau „VirusTotal“ gali nuskaityti apsaugotą archyvą tik tuo atveju, jei jame yra vienas failas.