techleakszone 🔥 19 Посещения

Вчера ко мне обратились два разных человека с предложениями по двум интересным проектам на GitHub

Вчера ко мне обратились два разных человека с предложениями по двум интересным проектам на GitHub

Новая кампания вредоносного ПО: использование GitHub как площадки для распространения StealC

В последние дни внимание специалистов по кибербезопасности привлекли подозрительные активности на GitHub. Два отдельных информатора сообщили о наличии комментариев к проектам, где утверждается наличие патчей для популярных программ. Один из информаторов, отмеченный как "Tito", обратился ко мне через личные сообщения, а другой, "Robert Z", отправил электронное письмо.

После детального анализа установлено, что проблемные файлы, о которых шла речь, включают:

  • hb_patch_v1112
  • registry_patch_v0.1.7
  • rep_fix_v1.zip
  • sodium_fix_v1
  • log_fix_patch

Возникло предположение, что кто-то создает фальшивые аккаунты на платформе GitHub и оставляет комментарии о патчах, вероятно, с использованием автоматизированного решения. Более того, это, как оказалось, не просто шутка: вся информация была связана с вредоносным ПО.

Начало кампании

Кампания, судя по всему, стартовала 7 июля и быстро распространилась. Анализ файлов показал, что внутри них находится программа, написанная на языке программирования Go. При запуске бинарного файла он выполняет запрос к удаленному хосту, который разрешается на платформу Telegram.

Как работает вредоносное ПО

На канале Telegram в описании указано определенное веб-сайт. Это является ключевым элементом работы этой схемы. Вредоносное ПО эксфильтрует коды на указанный сайт, что создает серьезные угрозы для пользователей.

Этот метод был выбран разработчиками вредоносного ПО для того, чтобы они могли быстро менять описание Telegram-канала в случае блокировки указанного сайта. В этом контексте Telegram выступает в роли своеобразного "нелегального" DNS-ресолвера, что значительно усложняет отслеживание и блокировку их действий.

Имя файла Описание Язык программирования Цель
hb_patch_v1112 Предполагаемый патч для синхронизации Go Вредоносное ПО
registry_patch_v0.1.7 Патч для реестра Go Вредоносное ПО
rep_fix_v1.zip Файл, содержащий малварь Go Вредоносное ПО
sodium_fix_v1 Патч для защиты Go Вредоносное ПО
log_fix_patch Лог-файл с вредоносным кодом Go Вредоносное ПО

Что мы знаем о StealC

Судя по идентификаторам YARA, это новое вредоносное ПО можно классифицировать как StealC. Его использование на GitHub в сочетании с "нелегальным" DNS-ресолвером на Telegram демонстрирует интересный, хотя и пугающий подход к распространению вредоносного ПО.

Одной из причин, по которой эта кампания так эффективна, является медленная реакция Telegram на запросы о блокировке контента. Это дает злоумышленникам достаточно времени для распространения своей продукции, прежде чем будут предприняты действия по её остановке.

Кибербезопасность становится все более актуальной темой, и такие инциденты подчеркивают важность осведомленности пользователей о потенциальных угрозах, связанных с вредоносными программами, распространенными через, казалось бы, безопасные платформы, такие как GitHub.