Er is waargenomen dat een onbekende bedreigingsacteur betaalde of gepromote berichten op legitieme nieuwswebsites gebruikt om buzz voor hun warez te genereren, volgens nieuwe bevindingen van Check Point Research.
De bedreigingsacteur beschikt ook over een speciale WordPress-phishingpagina die als centrale hub fungeert, naast GitHub- en SourceForge-projecten die worden gepromoot door nepaccounts, een YouTube-kanaal en een cluster van accounts die zich bezighouden met gecoördineerde activiteiten op VirusTotal met de bedoeling om kwaadaardige bestanden ten onrechte als veilig te classificeren.
“Om een kwaadaardige ‘tool’ te pushen heeft één enkele bedreigingsacteur hetzelfde draaiboek geleend dat legitieme merken gebruiken om buzz op te bouwen: verhoogde downloadaantallen, gecoördineerde vijfsterrenrecensies, instructievideo’s in influencer-stijl en promotie op platforms die mensen instinctief vertrouwen”, aldus Check Point in een rapport gedeeld met The Hacker News. “Het resultaat is een nep-reputatie-economie die elk platform omvat dat een nieuwsgierig slachtoffer zou kunnen controleren voordat hij op ‘downloaden’ klikt.”
Het einddoel van de campagne is het promoten van een klembordkaper voor cryptovaluta die verborgen zit in Solana en Pump.fun sluipschutterbots en crashgame-voorspellers, wat erop wijst dat houders van cryptocurrency-activa en online gokkers op jacht naar snelkoppelingen en snelle winsten het doelwit zijn.
De op Rust gebaseerde clipper richt zich zowel op Windows- als macOS-systemen en controleert voortdurend het klembord op inhoud die overeenkomt met het adrespatroon van een cryptocurrency-portemonnee. Wanneer er een match wordt gevonden, vervangt de malware het portemonnee-adres door een door de aanvaller gecontroleerd adres dat uit een hardgecodeerde lijst wordt gehaald, waardoor de digitale activa effectief naar hen worden doorgestuurd.
Wat opvalt aan de activiteit is het gebruik van Ghost Networks om reputatiegestuurde systemen zoals VirusTotal te vergiftigen, met als doel de verdenking te verminderen en het vertrouwen van de slachtoffers in de kwaadaardige bestanden te vergroten door een combinatie van stemmen en zeer positieve commentaren.
Dit gedrag strekt zich ook uit tot GitHub, waar de bedreigingsacteur ten minste zes GitHub-accounts beheert om zijn malware te promoten en te verspreiden. Deze synthetisch versterkte signalen zijn bedoeld om gebruikers een vals gevoel van veiligheid en vertrouwen te geven. Eén zo’n repository heeft 146 sterren en 62 vorken.
“Op SourceForge bereikte de downloadteller 44.485, waarvan een verdachte 37.460 vermoedelijk afkomstig was van Android-apparaten, ondanks dat de ontwikkelaar alleen Windows- en macOS-versies aanbood”, legt Check Point uit. “Een plausibele verklaring is het gebruik van een Android-farm om het aantal downloads op SourceForge kunstmatig te verhogen.”
Bovendien worden de softwareoplossingen gepromoot via een speciaal YouTube-kanaal met meer dan 91.000 abonnees. Het kanaal is in juli 2020 opgericht en de operators beweren dat het “uitsluitend voor educatieve doeleinden” is. De video’s in instructiestijl bevatten door AI gegenereerde vertellers en positieve commentaren om de illusie van populariteit en betrouwbaarheid te versterken.
Misschien wel het meest ongebruikelijke aspect van de campagne is het gebruik door de bedreigingsactoren van een distributiedienst voor persberichten zoals EIN Presswire om de vermeende mogelijkheden van hun tool op de markt te brengen. Het persbericht is sindsdien verspreid via de partnernieuwswebsites van de dienst, voornamelijk het USA TODAY Network.
“Het manipuleren van sentiment en reputatie op crowdsourced platforms markeert een betekenisvolle verschuiving in de manier waarop aanvallers vertrouwen opbouwen”, aldus Check Point. “Hetzelfde draaiboek van valse reputatie en agressieve platformonafhankelijke promotie kan in de loop van de tijd gemakkelijk informatiestelers of ransomware verspreiden naar doelen met een hogere waarde.”
