.
Pesquisadores de segurança da informação descobriram uma rede de mais de três mil contas maliciosas do GitHub usadas para espalhar malware, visando grupos que incluem jogadores, pesquisadores de malware e até mesmo outros agentes de ameaças que buscam espalhar malware.
A pesquisa, escrita por Antonis Terefos, da Check Point Software, nomeou a coleção de contas do GitHub de “Stargazer Ghost Network” e afirmou que ela é operada por um agente de ameaças que a empresa de segurança cibernética rotulou de “Stargazer Goblin”.
Seja qual for o nome, o grupo heterogêneo por trás desse esforço adotou duas táticas inovadoras.
Um é phishing sem e-mail. Terefos opinou que e-mail é visto com suspeita, então Stargazer Goblin posta links desagradáveis em serviços como Discord. Os alvos são pessoas que “queriam aumentar seu ‘público de seguidores’ no Twitch, Instagram, YouTube, Twitter, Trovo e TikTok ou usar outros recursos relacionados a ferramentas para Kick Chat, Telegram, E-mail e Discord.”
Se esses alvos clicarem em um link, eles encontrarão a segunda inovação maligna do Stargazer Goblin: uma rede de contas GitHub enganosamente inofensivas. Na realidade, as contas desempenham funções discretas que ajudam a espalhar malware, mas não são tão obviamente malignas a ponto de o serviço de colaboração de codificação fechá-las.
Alguns deles são até mesmo marcados com estrela ou verificados por outras contas do GitHub, o que lhes dá um ar de legitimidade.
Mas eles contêm perigo. O pesquisador observou que alguns dos repositórios continham um README.md arquivo contendo “um link de download de phishing que nem mesmo redireciona para os lançamentos do próprio repositório. Em vez disso, ele usa três contas do GitHub Ghost com diferentes ‘responsabilidades’.”
- A primeira conta atende ao modelo de repositório “phishing”;
- A segunda conta fornece a “imagem” usada para o modelo de phishing;
- A terceira conta serve como um arquivo protegido por senha em um Release.
E quando as vítimas acessam esse arquivo… você sabe o que vem a seguir.
A estrutura de múltiplas contas significa que o Stargazer Goblin pode “rapidamente ‘consertar’ quaisquer links quebrados que possam ocorrer devido a contas ou repositórios sendo banidos por atividades maliciosas”, escreveu Terefos. Isso também significa que a rede pode substituir rapidamente componentes comprometidos, provavelmente usando automação, o que significa que as remoções de contas perigosas não interrompem as operações de distribuição de malware.
A IA generativa também pode ter sido usada para criar repositórios e contas com aparência legítima – e talvez até mesmo para criar respostas personalizadas para usuários reais.
Funciona, droga!
Uma dessas campanhas foi altamente bem-sucedida. Durante um período de quatro dias em janeiro de 2024, a Check Point observou a Stargazer Ghost Network distribuir o Atlantida Stealer – uma nova família de malware que rouba credenciais de usuários e carteiras de criptomoedas, juntamente com outras informações pessoais identificáveis – e proteger mais de 1.300 infecções.
Na mesma época, outra campanha foi lançada para espalhar o Rhadamanthys por repositórios que eram ostensivamente para software crackeado e ferramentas de negociação de criptomoedas. Mais de mil usuários baixaram o malware em duas semanas, afirmam os pesquisadores, com base em uma página de estatísticas que encontraram no site host do malware.
Terefos acredita que algumas das campanhas do grupo podem ter como alvo pesquisadores de segurança da informação ou gangues rivais de malware, já que o link de phishing levou a uma versão crackeada do conhecido infostealer RisePro, que havia sido modificado para espalhar malware.
Seja qual for o alvo, o esforço se mostrou lucrativo: a Terefos acredita que esse negócio de malware arrecadou cerca de US$ 100.000 no ano passado.
Mas isso é só para o GitHub – os pesquisadores suspeitam que o grupo pode estar operando em outros sites também. Isso é potencialmente indicado por um repositório do GitHub que vinculou a um tutorial do YouTube sobre como instalar um programa que é, na verdade, malware. O estudo também sugere que a campanha Atlantida teve como alvo usuários interessados em mídias sociais para adquirir contas em outras plataformas, que podem ser usadas para espalhar malware, assim como o GitHub.
Em uma declaração para O registroum porta-voz do GitHub disse que a plataforma “… está comprometida em investigar problemas de segurança relatados. Desabilitamos contas de usuários de acordo com as Políticas de Uso Aceitáveis do GitHub, que proíbem a publicação de conteúdo que apoie diretamente ataques ativos ilegais ou campanhas de malware que estejam causando danos técnicos.” ®
.
