Rede Fantasma Stargazers
Um ator de ameaça identificado como Stargazer Goblin criou uma rede de contas falsas no GitHub para executar uma operação de distribuição como serviço (DaaS) que distribui vários tipos de malware para roubo de informações, ganhando US$ 100.000 em lucros ilegais no ano passado.
Essa rede, conhecida como Stargazers Ghost Network, inclui mais de 3.000 contas na plataforma de hospedagem de código baseada em nuvem e abrange milhares de repositórios usados para compartilhar links maliciosos e malware.
As famílias de malware espalhadas por esta rede incluem Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer e RedLine. Além disso, as contas falsas se envolvem em atividades como estrelar, bifurcar, assistir e assinar esses repositórios maliciosos para criar uma aparência de legitimidade.
Índice
Contas maliciosas se passando por usuários normais
Acredita-se que a rede esteja ativa desde agosto de 2022 de alguma forma preliminar, embora um anúncio para o DaaS não tenha sido descoberto no escuro até o início de julho de 2023. Os atores da ameaça agora operam uma rede de contas 'fantasma' que distribuem malware via links maliciosos em seus repositórios e arquivos criptografados como liberação.
Esta rede não apenas distribui malware, mas também fornece várias outras atividades que fazem com que essas contas “fantasmas” pareçam usuários normais, conferindo legitimidade falsa às suas ações e aos repositórios associados.
Diferentes categorias de contas do GitHub são responsáveis por aspectos distintos do esquema, na tentativa de tornar sua infraestrutura mais resiliente aos esforços de remoção do GitHub quando cargas maliciosas são sinalizadas na plataforma.
Diferentes tipos de contas utilizadas pelos atores da ameaça
A rede emprega vários tipos de contas para diferentes funções: algumas contas gerenciam modelos de repositórios de phishing, outras fornecem imagens para esses modelos e algumas enviam malware para os repositórios em arquivos protegidos por senha, disfarçados de software crackeado ou cheats de jogos.
Se o GitHub detectar e banir o terceiro conjunto de contas, o Stargazer Goblin atualizará o repositório de phishing do primeiro conjunto com um novo link para uma versão maliciosa ativa, minimizando a interrupção operacional.
Além de gostar de novos lançamentos de vários repositórios e modificar links de download nos arquivos README.md, as evidências sugerem que algumas contas na rede podem ter sido comprometidas, com suas credenciais provavelmente obtidas por meio de malware ladrão.
Os pesquisadores normalmente descobrem que as contas Repository e Stargazer geralmente não são afetadas por banimentos e remoções de repositórios, enquanto as contas Commit e Release geralmente são banidas quando seus repositórios maliciosos são descobertos. Também é comum ver Link-Repositories que contêm links para Release-Repositories banidos. Quando isso acontece, a conta Commit associada atualiza o link malicioso para um novo.
Várias ameaças de malware implantadas
Uma das campanhas descobertas por especialistas envolve um link malicioso que leva a um repositório GitHub. Este repositório direciona os usuários para um script PHP hospedado em um site WordPress, que então entrega um arquivo HTML Application (HTA) para executar o Atlantida Stealer por meio de um script PowerShell.
Além do Atlantida Stealer, o DaaS também distribui outras famílias de malware, incluindo Lumma Stealer, RedLine Stealer, Rhadamanthys e RisePro. Os especialistas observaram que essas contas GitHub fazem parte de uma rede DaaS mais ampla que opera contas ‘Ghost’ semelhantes em outras plataformas, como Discord, Facebook, Instagram, X e YouTube.
Conclusão
Stargazer Goblin desenvolveu uma operação de distribuição de malware altamente sofisticada que evita habilmente a detecção, aproveitando a reputação do GitHub como um site legítimo. Essa abordagem ajuda a evitar suspeitas de atividades maliciosas e reduz os danos quando o GitHub intervém.
Ao usar uma variedade de contas e perfis para diferentes tarefas – como marcar repositórios, hospedá-los, cometer modelos de phishing e hospedar lançamentos maliciosos – a Stargazers Ghost Network pode limitar suas perdas. Quando o GitHub interrompe suas operações, normalmente afeta apenas uma parte da rede, permitindo que o restante da infraestrutura continue funcionando com impacto mínimo.
