Rete fantasma di Stargazers
Un attore di minacce identificato come Stargazer Goblin ha creato una rete di falsi account GitHub per eseguire un'operazione di distribuzione come servizio (DaaS) che distribuisce vari tipi di malware che rubano informazioni, guadagnando loro $ 100.000 in profitti illegali nell'ultimo anno.
Questa rete, nota come Stargazers Ghost Network, include più di 3.000 account sulla piattaforma di hosting di codice basata su cloud e si estende su migliaia di repository utilizzati per condividere collegamenti dannosi e malware.
Le famiglie di malware diffuse attraverso questa rete includono Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer e RedLine. Inoltre, gli account falsi si impegnano in attività come starring, biforcazione, visione e iscrizione a questi repository dannosi per creare un'apparenza di legittimità.
Sommario
Account dannosi che si spacciano per utenti normali
Si ritiene che la rete sia attiva dall'agosto 2022 in una forma preliminare, anche se una pubblicità per DaaS è stata avvistata nell'oscurità solo all'inizio di luglio 2023. Gli autori delle minacce ora gestiscono una rete di account "Ghost" che distribuiscono malware tramite collegamenti dannosi sui loro repository e archivi crittografati come rilascio.
Questa rete non solo distribuisce malware ma fornisce anche varie altre attività che fanno apparire questi account "fantasma" come utenti normali, conferendo falsa legittimità alle loro azioni e ai repository associati.
Diverse categorie di account GitHub sono responsabili di aspetti distinti dello schema nel tentativo di rendere la loro infrastruttura più resistente agli sforzi di rimozione da parte di GitHub quando vengono segnalati payload dannosi sulla piattaforma.
Diversi tipi di account utilizzati dagli autori delle minacce
La rete utilizza vari tipi di account per funzioni diverse: alcuni account gestiscono modelli di repository di phishing, altri forniscono immagini per questi modelli e alcuni inseriscono malware nei repository in archivi protetti da password mascherati da software crackati o trucchi di giochi.
Se GitHub rileva e vieta il terzo set di account, Stargazer Goblin aggiorna il repository di phishing del primo set con un nuovo collegamento a una versione dannosa attiva, riducendo al minimo le interruzioni operative.
Oltre ad apprezzare le nuove versioni da più repository e a modificare i collegamenti di download nei file README.md, le prove suggeriscono che alcuni account nella rete potrebbero essere stati compromessi, con le loro credenziali probabilmente ottenute tramite malware ladro.
I ricercatori in genere scoprono che gli account Repository e Stargazer spesso non vengono influenzati da divieti e rimozioni di repository, mentre gli account Commit e Release vengono solitamente bannati una volta scoperti i loro repository dannosi. È anche comune vedere repository di collegamenti che contengono collegamenti a repository di rilascio vietati. Quando ciò accade, l'account Commit associato aggiorna il collegamento dannoso con uno nuovo.
Varie minacce malware distribuite
Una delle campagne scoperte dagli esperti riguarda un collegamento dannoso che porta a un repository GitHub. Questo repository indirizza gli utenti a uno script PHP ospitato su un sito WordPress, che quindi fornisce un file di applicazione HTML (HTA) per eseguire Atlantida Stealer tramite uno script PowerShell.
Oltre ad Atlantida Stealer, DaaS distribuisce anche altre famiglie di malware, tra cui Lumma Stealer, RedLine Stealer, Rhadamanthys e RisePro. Gli esperti hanno osservato che questi account GitHub fanno parte di una rete DaaS più ampia che gestisce account "Ghost" simili su altre piattaforme come Discord, Facebook, Instagram, X e YouTube.
Conclusione
Stargazer Goblin ha sviluppato un'operazione di distribuzione di malware altamente sofisticata che elude abilmente il rilevamento sfruttando la reputazione di GitHub come sito legittimo. Questo approccio aiuta a evitare il sospetto di attività dannose e riduce i danni quando interviene GitHub.
Utilizzando una varietà di account e profili per attività diverse, come includere repository, ospitarli, inviare modelli di phishing e ospitare versioni dannose, Stargazers Ghost Network può limitare le perdite. Quando GitHub interrompe le loro operazioni, in genere colpisce solo una parte della rete, consentendo al resto dell’infrastruttura di continuare a funzionare con un impatto minimo.