โปรเจกต์ GitHub ใหม่: สองไอเดียสดจากนักพัฒนาชั้นนำ

การสอบสวนแคมเปญใหม่ของมัลแวร์ที่ใช้ GitHub และ Telegram
เมื่อวานนี้ มีผู้ใช้สองคนได้ติดต่อมาหาผมเกี่ยวกับโครงการต่างๆ บน GitHub โดยมี "Tito" ส่งข้อความตรง (DM) มาพูดคุยเกี่ยวกับผู้ที่แสดงความคิดเห็นใน GitHub ว่าพบแพตช์สำหรับ "synara" และ "Robert Z" ได้ส่งอีเมลมาถึงผมเกี่ยวกับสิ่งที่คล้ายกันในโครงการ GitHub อื่น
เมื่อทำการตรวจสอบเพิ่มเติม พบว่ามีไฟล์ที่มีชื่อเดียวกันถูกค้นพบทางออนไลน์ ได้แก่:
- hb_patch_v1112
- registry_patch_v0.1.7
- rep_fix_v1.zip
- sodium_fix_v1
- log_fix_patch
ดูเหมือนว่าจะมีใครบางคนกำลังสร้างบัญชีบน GitHub และไปที่หน้าเปิดประเด็น (issues) เพื่อทิ้งความคิดเห็นว่าพบแพตช์ ซึ่งน่าจะเป็นการทำอัตโนมัติ(automated) และแน่นอนว่า แพตช์ดังกล่าวคือมัลแวร์
จากการตรวจสอบแคมเปญนี้ เริ่มขึ้นประมาณวันที่ 7 กรกฎาคมที่ผ่านมา (เมื่อวานนี้) และกำลังแพร่กระจายไปอย่างรวดเร็ว
เมื่อเข้าไปดูภายในโปรแกรม พบว่ามันถูกเขียนด้วยภาษา Go และเมื่อไฟล์ไบนารีทำงาน (detonates) มันจะทำการเชื่อมต่อกับโฮสต์ระยะไกลซึ่งสามารถระบุได้ว่าเป็น Telegram
คำอธิบายของช่อง Telegram ระบุเว็บไซต์ ซึ่งเว็บไซต์นี้คือแหล่งที่มัลแวร์ทำการส่งข้อมูลไปยัง
การใช้วิธีนี้มีจุดประสงค์เพื่อให้สามารถเปลี่ยนแปลงคำอธิบายของช่อง Telegram ได้อย่างรวดเร็ว หากเว็บไซต์ที่ระบุถูกลบ
กลยุทธ์การใช้ DNS Resolver ที่ผิดกฎหมาย
ระบบที่ใช้ในแคมเปญนี้สามารถเปรียบได้กับ DNS resolver ที่ถูกกฎหมาย กล่าวคือเมื่อใดที่เว็บไซต์ใดๆ ถูกลบ การเปลี่ยนแปลงจะทำได้ทันที
| ชื่อไฟล์ | ประเภท | สถานะ |
|---|---|---|
| hb_patch_v1112 | มัลแวร์ | ค้นพบแล้ว |
| registry_patch_v0.1.7 | มัลแวร์ | ค้นพบแล้ว |
| rep_fix_v1.zip | มัลแวร์ | ค้นพบแล้ว |
| sodium_fix_v1 | มัลแวร์ | ค้นพบแล้ว |
| log_fix_patch | มัลแวร์ | ค้นพบแล้ว |
จากการวิเคราะห์ข้อมูลที่มี มัลแวร์นี้มีชื่อว่า StealC ซึ่งอิงตามตัวระบุ YARA อาจจะเป็นแคมเปญใหม่ที่ใครบางคนใช้ StealC
ถึงแม้ว่ามันจะดูน่าสนใจ แต่การใช้ GitHub ในการแพร่กระจายมัลแวร์ในลักษณะนี้ถือเป็นการใช้เทคนิคที่อันตรายมาก การที่ Telegram ไม่ค่อยมีการตอบสนองต่อคำขอเพื่อดึงข้อมูลนี้ออก อาจจะทำให้การแพร่กระจายมีความเร็วที่มากยิ่งขึ้น
เราควรมีการตื่นตัวและตรวจสอบให้แน่ใจว่าโปรเจ็คที่เราใช้งานอยู่ไม่มีการดาวน์โหลดไฟล์ที่มีความเสี่ยงเหล่านี้
```
TechOffice