'Stargazer Goblin' olarak bilinen tehdit aktörleri, GitHub'da bilgi çalan kötü amaçlı yazılımları zorlayan 3.000'den fazla sahte hesaptan bir Hizmet Olarak Kötü Yazılım Dağıtım (DAAS) yarattı.
Kötü amaçlı yazılım dağıtım hizmetine Stargazers Ghost Network denir ve Github depolarını ve kötü amaçlı yazılım içeren şifre korumalı arşivleri dağıtmak için tehlikeye atılmış WordPress siteleri kullanır. Çoğu durumda, kötü amaçlı yazılım Redline, Lumma Stealer, Rhadamanthys, Risepro ve Atlantida Stealer gibi infostalers'tır.
GitHub'ın tanınmış, güvenilir bir hizmet olması nedeniyle, insanlar ona daha az şüphe ile davranırlar ve hizmetin depolarında buldukları bağlantıları tıklama olasılığı daha yüksek olabilir.
Check Point araştırması, bu tür organize ve büyük ölçekli bir planın GitHub'da çalıştığı ilk kez belgelendiğini söyleyen operasyonu keşfetti.
Raporu Check Point Research ile açıklıyor "Stargazers Ghost Network tarafından yapılan kampanyalar ve bu hizmet aracılığıyla dağıtılan kötü amaçlı yazılımlar son derece başarılı" diye açıklıyor.
"Kısa bir süre içinde, binlerce kurban, herhangi bir kötü niyetli niyetten şüphelenmeden meşru bir depo gibi görünen şeyden yazılım kurdu. Ağır kurban odaklı kimlik avı şablonları, tehdit aktörlerinin belirli profiller ve çevrimiçi hesaplarla enfeksiyonları enfeksiyonlarını enfekte etmesine izin veriyor. daha da değerli. "
DAAS operasyonunun yaratıcısı Stargazer Goblin, Haziran 2023'ten beri kötü amaçlı yazılım dağıtım hizmetini aktif olarak tanıtıyor. Ancak Check Point, Ağustos 2022'den beri aktif olduğuna dair kanıtlar olduğunu söylüyor.
Stargazer Goblin, üç bin sahte 'hayalet' hesabı kullanarak yüzlerce depo oluşturdukları bir sistem kurdu. Bu hesaplar, görünür meşruiyetlerini artırmak ve GitHub'ın trend bölümünde görünmelerini sağlamak için kötü amaçlı depolara abone olun, ve kötü niyetli depolara abone olun.
Depolar, kripto para birimi, oyun ve sosyal medya gibi belirli ilgi alanlarını hedefleyen proje adlarını ve etiketleri kullanıyor.
'Hayalet' hesaplarına farklı roller verilir. Bir grup kimlik avı şablonuna hizmet eder, diğeri kimlik avı görüntüsünü sağlar ve üçüncüsü, plana belirli bir operasyonel esneklik sağlayan kötü amaçlı yazılımlara hizmet eder.
Araştırmacı Antonis Terefos, "Kötü amaçlı yazılımlara hizmet eden üçüncü hesabın algılanması daha olasıdır. Bu gerçekleştiğinde, GitHub tüm hesabı, depoyu ve ilgili sürümleri yasaklar."
"Bu tür eylemlere yanıt olarak, Stargazer Goblin, ilk hesabın kimlik avı deposunu yeni bir aktif kötü niyetli sürümle yeni bir bağlantı ile günceller. Bu, bir kötü amaçlı yazılım kullanma hesabı yasaklandığında ağın minimum kayıplarla çalışmaya devam etmesini sağlar."
Check Point, 'Stargazers Ghost Network' GitHub depolarından biriyle aynı operasyona bağlanan bir yazılım öğreticisi olan bir YouTube videosu vakası gözlemledi.
Araştırmacılar, kimlik avı depolarına veya kötü amaçlı yazılım dağıtım sitelerine trafik çekmek için kullanılan potansiyel olarak çoklu kanal örneklerinden biri olabileceğini belirtiyor.
Operasyonun büyüklüğü ve kar üretimi açısından Check Point, tehdit oyuncunun hizmetin lansmanından bu yana 100.000 doların üzerinde olduğunu tahmin ediyor.
Stargazers Ghost Network'ün işleminden hangi kötü amaçlı yazılım dağıtıldığına gelince, Check Point, diğerlerinin yanı sıra Redline, Lumma Stealer, Rhadamanthys, Risepro ve Atlantida Stealer'ın içerdiğini söylüyor.
Bir örnekte Check Point'in raporunda sunulan saldırı zincirinde, GitHub deposu ziyaretçileri, VBScript ile bir HTA dosyası içeren bir ZIP arşivi indirdiklerinden, tehlikeye atılmış bir WordPress sitesine yönlendirir.
VBScript, sonuçta Atlantida Stealer'ın konuşlandırılmasına yol açan iki ardışık PowerShell komut dosyasının yürütülmesini tetikler.
GitHub, Mayıs 2024'ten bu yana 1.500'den fazla düşen kötü niyetli ve esasen sahte depoların çoğuna karşı harekete geçmesine rağmen, Check Point şu anda aktif olduğunu ve kötü amaçlı yazılım dağıtmaya devam ettiğini söylüyor.
Github depolarına kötüverizing, Google arama sonuçları, YouTube videoları, telgraf veya sosyal medya yoluyla gelen kullanıcıların dosya indirmeleri ve tıkladıkları URL'lerle çok dikkatli olmaları tavsiye edilir.
Bu özellikle antivirüs yazılımı tarafından taranamayan şifre korumalı arşivler için geçerlidir. Bu tür dosyalar için, bunları bir VM üzerinde çıkarmanız ve çıkarılan içeriği kötü amaçlı yazılımları kontrol etmek için antivirüs yazılımı ile taramanız önerilir.
Sanal bir makine mevcut değilse, içeriğini tarayabilmesi için korunan bir arşivin şifresini isteyecek olan Virustotal'ı da kullanabilirsiniz. Bununla birlikte, Virustotal sadece tek bir dosya içeriyorsa korunan bir arşivi tarayabilir.
Sahte Crowdtrike Onarım Kılavuzu Yeni Infostealer kötü amaçlı yazılımını iter
Warmcookie Windows Backdoor sahte iş teklifleri aracılığıyla itildi
Gitloker, Kötü niyetli OAuth uygulamalarını zorlamak için Github Bildirimleri Kötüye Kullanım Saldırılar
Knowbe4 yanlışlıkla Kuzey Koreli hacker'ı işe alıyor, Infostealer saldırısına karşı
Fransız polisi PUTX TEMİZLEME KENDİ YAZI KENDİ YAZILI BAĞLI BAĞLI PCS'ye yük
Kaynak: Bleeping Computer