Base de dades d'amenaces Malware Stargazers Ghost Network

Stargazers Ghost Network

Un actor d'amenaces identificat com Stargazer Goblin ha creat una xarxa de comptes falsos de GitHub per executar una operació de distribució com a servei (DaaS) que distribueix diversos tipus de programari maliciós que roba informació, la qual cosa els ha guanyat 100.000 dòlars en beneficis il·legals durant l'últim any.

Aquesta xarxa, coneguda com a Stargazers Ghost Network, inclou més de 3.000 comptes a la plataforma d'allotjament de codi basada en núvol i abasta milers de repositoris utilitzats per compartir enllaços maliciosos i programari maliciós.

Les famílies de programari maliciós difoses per aquesta xarxa inclouen Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer i RedLine. A més, els comptes falsos participen en activitats com protagonitzar, bifurcar, mirar i subscriure's a aquests dipòsits maliciosos per crear una aparença de legitimitat.

Comptes maliciosos que es fan passar per usuaris normals

Es creu que la xarxa ha estat activa des de l'agost de 2022 d'alguna manera preliminar, tot i que un anunci del DaaS no es va veure a les fosques fins a principis de juliol de 2023. Els actors de l'amenaça ara operen una xarxa de comptes "fantasma" que distribueixen programari maliciós mitjançant enllaços maliciosos als seus dipòsits i arxius xifrats com a llançament.

Aquesta xarxa no només distribueix programari maliciós, sinó que també ofereix altres activitats que fan que aquests comptes "fantasma" apareguin com a usuaris normals, donant una legitimitat falsa a les seves accions i als repositoris associats.

Diferents categories de comptes de GitHub són responsables de diferents aspectes de l'esquema en un intent de fer que la seva infraestructura sigui més resistent als esforços de retirada de GitHub quan es marquen càrregues útils malicioses a la plataforma.

Diferents tipus de comptes utilitzats pels actors d'amenaça

La xarxa utilitza diversos tipus de comptes per a diferents funcions: alguns comptes gestionen plantilles de dipòsits de pesca, altres proporcionen imatges per a aquestes plantilles i alguns envien programari maliciós als dipòsits en arxius protegits amb contrasenya disfressats de programari trencat o trucs de jocs.

Si GitHub detecta i prohibeix el tercer conjunt de comptes, Stargazer Goblin actualitza el dipòsit de pesca des del primer conjunt amb un nou enllaç a un llançament maliciós actiu, minimitzant les interrupcions operatives.

A més d'agradar les noves versions de diversos dipòsits i modificar els enllaços de descàrrega als fitxers README.md, l'evidència suggereix que alguns comptes de la xarxa poden haver estat compromesos, amb les seves credencials probablement obtingudes mitjançant programari maliciós robador.

Els investigadors solen trobar que els comptes de Repository i Stargazer sovint no es veuen afectats per les prohibicions i la retirada de repositoris, mentre que els comptes Commit i Release solen prohibir-se un cop es descobreixen els seus dipòsits maliciosos. També és habitual veure dipòsits d'enllaços que contenen enllaços a dipòsits de llançament prohibits. Quan això succeeix, el compte de Commit associat actualitza l'enllaç maliciós a un de nou.

Diverses amenaces de programari maliciós desplegades

Una de les campanyes descobertes pels experts implica un enllaç maliciós que condueix a un repositori de GitHub. Aquest repositori dirigeix els usuaris a un script PHP allotjat en un lloc de WordPress, que després lliura un fitxer d'aplicació HTML (HTA) per executar Atlantida Stealer mitjançant un script de PowerShell.

A més d'Atlantida Stealer, DaaS també distribueix altres famílies de programari maliciós, com Lumma Stealer, RedLine Stealer, Rhadamanthys i RisePro. Els experts han observat que aquests comptes de GitHub formen part d'una xarxa DaaS més àmplia que opera comptes "fantasma" similars a altres plataformes com Discord, Facebook, Instagram, X i YouTube.

Conclusió

Stargazer Goblin ha desenvolupat una operació de distribució de programari maliciós altament sofisticat que evadeu intel·ligentment la detecció aprofitant la reputació de GitHub com a lloc legítim. Aquest enfocament ajuda a evitar la sospita d'activitats malicioses i redueix els danys quan intervé GitHub.

Mitjançant l'ús de diversos comptes i perfils per a diferents tasques, com ara protagonitzar repositoris, allotjar-los, cometre plantilles de pesca i allotjar llançaments maliciosos, Stargazers Ghost Network pot limitar les seves pèrdues. Quan GitHub interromp les seves operacions, normalment només afecta una part de la xarxa, permetent que la resta de la seva infraestructura continuï funcionant amb un impacte mínim.

Tendència

Més vist

Carregant...