Вчера ко мне обратились два разных человека с предложениями по двум интересным проектам на GitHub

Новая кампания вредоносного ПО: использование GitHub как площадки для распространения StealC
В последние дни внимание специалистов по кибербезопасности привлекли подозрительные активности на GitHub. Два отдельных информатора сообщили о наличии комментариев к проектам, где утверждается наличие патчей для популярных программ. Один из информаторов, отмеченный как "Tito", обратился ко мне через личные сообщения, а другой, "Robert Z", отправил электронное письмо.
После детального анализа установлено, что проблемные файлы, о которых шла речь, включают:
- hb_patch_v1112
- registry_patch_v0.1.7
- rep_fix_v1.zip
- sodium_fix_v1
- log_fix_patch
Возникло предположение, что кто-то создает фальшивые аккаунты на платформе GitHub и оставляет комментарии о патчах, вероятно, с использованием автоматизированного решения. Более того, это, как оказалось, не просто шутка: вся информация была связана с вредоносным ПО.
Начало кампании
Кампания, судя по всему, стартовала 7 июля и быстро распространилась. Анализ файлов показал, что внутри них находится программа, написанная на языке программирования Go. При запуске бинарного файла он выполняет запрос к удаленному хосту, который разрешается на платформу Telegram.
Как работает вредоносное ПО
На канале Telegram в описании указано определенное веб-сайт. Это является ключевым элементом работы этой схемы. Вредоносное ПО эксфильтрует коды на указанный сайт, что создает серьезные угрозы для пользователей.
Этот метод был выбран разработчиками вредоносного ПО для того, чтобы они могли быстро менять описание Telegram-канала в случае блокировки указанного сайта. В этом контексте Telegram выступает в роли своеобразного "нелегального" DNS-ресолвера, что значительно усложняет отслеживание и блокировку их действий.
| Имя файла | Описание | Язык программирования | Цель |
|---|---|---|---|
| hb_patch_v1112 | Предполагаемый патч для синхронизации | Go | Вредоносное ПО |
| registry_patch_v0.1.7 | Патч для реестра | Go | Вредоносное ПО |
| rep_fix_v1.zip | Файл, содержащий малварь | Go | Вредоносное ПО |
| sodium_fix_v1 | Патч для защиты | Go | Вредоносное ПО |
| log_fix_patch | Лог-файл с вредоносным кодом | Go | Вредоносное ПО |
Что мы знаем о StealC
Судя по идентификаторам YARA, это новое вредоносное ПО можно классифицировать как StealC. Его использование на GitHub в сочетании с "нелегальным" DNS-ресолвером на Telegram демонстрирует интересный, хотя и пугающий подход к распространению вредоносного ПО.
Одной из причин, по которой эта кампания так эффективна, является медленная реакция Telegram на запросы о блокировке контента. Это дает злоумышленникам достаточно времени для распространения своей продукции, прежде чем будут предприняты действия по её остановке.
Кибербезопасность становится все более актуальной темой, и такие инциденты подчеркивают важность осведомленности пользователей о потенциальных угрозах, связанных с вредоносными программами, распространенными через, казалось бы, безопасные платформы, такие как GitHub.
TechOffice