Cybersecurity-onderzoekers hebben een aantal GitHub-opslagplaatsen gevonden die gekraakte software aanbieden die wordt gebruikt om een informatiedief te leveren genaamd RisePro.
De campagne, met codenaam gitgub, bevat volgens G DATA 17 opslagplaatsen die zijn gekoppeld aan 11 verschillende accounts. De betreffende repositories zijn inmiddels verwijderd door de dochteronderneming van Microsoft.
“De repository’s zien er hetzelfde uit, met een README.md-bestand met de belofte van gratis gekraakte software”, aldus het Duitse cyberbeveiligingsbedrijf.
“Groene en rode cirkels worden vaak gebruikt op Github om de status van automatische builds weer te geven. Gitgub-bedreigingsactoren hebben vier groene Unicode-cirkels toegevoegd aan hun README.md die doen alsof ze een status naast een huidige datum weergeven en een gevoel van legitimiteit en recentheid geven. “
De lijst met repository’s is als volgt, waarbij elk van hen verwijst naar een downloadlink (“digitalxnetwork[.]com”) met daarin een RAR-archiefbestand –
- andreastanaj/AVAST
- andreastanaj/Sound-Booster
- aymenkort1990/fabfilter
- BenWebsite/-IObit-Smart-Defrag-Crack
- Faharnaqvi/VueScan-Crack
- javisolis123/Voicemod
- lolusuary/AOMEI-Backupper
- lolusuary/Daemon-Tools
- lolusuary/EaseUS-Partition-Master
- lolus/SOOTHE-2
- mostofakamaljoy/ccleaner
- rik0v/ManyCam
- Roccinhu/Tenorshare-Reiboot
- Roccinhu/Tenorshare-iCareFone
- True-Oblivion/AOMEI-Partition-Assistant
- vaibhavshiledar/droidkit
- vaibhavshiledar/TOON-BOOM-HARMONY
Het RAR-archief, waarin de slachtoffers een wachtwoord moeten opgeven dat wordt vermeld in het README.md-bestand van de repository, bevat een installatiebestand dat de payload van de volgende fase uitpakt, een uitvoerbaar bestand dat is opgeblazen tot 699 MB in een poging om analysehulpmiddelen zoals IDA Pro.
De feitelijke inhoud van het bestand – slechts 3,43 MB groot – fungeert als een lader om RisePro (versie 1.6) in AppLaunch.exe of RegAsm.exe te injecteren.
RisePro kwam eind 2022 in de schijnwerpers toen het werd gedistribueerd via een pay-per-install (PPI) malware-downloaderservice die bekend staat als PrivateLoader.
Het is geschreven in C++ en is ontworpen om gevoelige informatie van geïnfecteerde hosts te verzamelen en deze naar twee Telegram-kanalen te exfiltreren, die vaak door bedreigingsactoren worden gebruikt om de gegevens van slachtoffers te extraheren. Interessant genoeg heeft recent onderzoek van Checkmarx aangetoond dat het mogelijk is om te infiltreren en berichten van de bot van een aanvaller door te sturen naar een ander Telegram-account.
De ontwikkeling komt op het moment dat Splunk de tactieken en technieken van Snake Keylogger uiteenzette en het omschreef als een stealer-malware die “een veelzijdige benadering van data-exfiltratie hanteert”.
“Het gebruik van FTP vergemakkelijkt de veilige overdracht van bestanden, terwijl SMTP het verzenden van e-mails met gevoelige informatie mogelijk maakt”, aldus Splunk. “Bovendien biedt de integratie met Telegram een real-time communicatieplatform, waardoor gestolen gegevens onmiddellijk kunnen worden verzonden.”
Stealer-malware is steeds populairder geworden en wordt vaak de belangrijkste vector voor ransomware en andere datalekken met grote impact. Volgens een rapport van Specops dat deze week is gepubliceerd, zijn RedLine, Vidar en Raccoon de meest gebruikte diefstallen gebleken, waarbij RedLine alleen al verantwoordelijk is voor de diefstal van meer dan 170,3 miljoen wachtwoorden in de afgelopen zes maanden.
“De huidige opkomst van informatiestelende malware is een duidelijke herinnering aan de voortdurend evoluerende digitale dreigingen”, merkte Flashpoint in januari 2024 op. “Hoewel de motivatie achter het gebruik ervan bijna altijd geworteld is in financieel gewin, passen stealers zich voortdurend aan terwijl ze toegankelijker en toegankelijker zijn. makkelijker te gebruiken.”
