Hackuritate

Icon-linkedin Facebook X-twitter BlueSky
știri infosec zise pe românește

Hackeri începători și utilizatori de game cheats vizați cu malware fals pe GitHub

Un malware open-source numit Sakura RAT, disponibil pe GitHub, conține la rândul său cod malițios menit să infecteze sistemele celor care încercau să-l compileze.

O investigație a dus la descoperirea unei campanii mai mari, care folosește peste 140 de depozite GitHub infectate, majoritatea pretinzând a fi instrumente de hacking sau cheat-uri pentru jocuri.

Cel puțin 133 dintre acestea conțineau backdoor-uri, cele mai multe ascunse în fișierele de proiect (.vbproj) sub formă de comenzi PreBuild care, la compilare, descărcau și rulau pe calculatorul victimei malware suplimentar precum infostealer sau RAT.

Un raport al companiei de securitate cibernetică Sophos arată că 58% dintre depozite vizau trișorii din jocuri, 24% pretindeau a fi instrumente de hacking, restul fiind diverse utilitare, inclusiv pentru criptomonede.

Experții cred că distribuția acestor backdoor-uri se făcea prin Discord, YouTube și social media, unde utilizatorii neexperimentați erau atrași să descarce și să compileze codul malițios, uneori sub pretextul folosirii unor unelte „avansate” de protecție.

Pornind de la o adresă de email (ischhfd83[at]rambler[.]ru) găsită într-un fișier YAML din depozitul Sakura RAT și folosind codul de backdoor, experții au reușit să găsească mai multe proiecte pe GitHub din cadrul acestei campanii.

În urma analizei malware-ului Sakura RAT, experții au observat că autorul nu furniza un produs funcțional, multe dintre formulare fiind goale.

Pentru a crea impresia unui malware complet, o parte din cod pare să fi fost copiată direct din AsyncRAT, un troian pentru acces la distanță (remote access trojan – RAT) open-source bine cunoscut și răspândit.

Raportul Sophos arată că depozitele aveau de obicei trei contribuitori cu roluri distincte:

  • proprietarul (responsabil de commit-urile automate)
  • un al doilea utilizator care adăuga backdoor-ul
  • un al treilea care introducea workflow-urile YAML

Backdoor-ul principal folosea un lanț complicat: comenzi batch în PreBuild, scripturi VBS și PowerShell, descărcare de arhive 7z parolate și executabile malițioase, toate protejate prin obfuscare ridicată și măsuri de evitare a detecției.

Majoritatea depozitelor identificate au fost raportate și eliminate de pe GitHub, la fel ca și alte resurse asociate, cum ar fi arhive și paste-uri cu cod obfuscat.

Operatorii campaniei au încercat să facă depozitele malițioase să pară legitime folosind commit-uri automate și workflow-uri YAML care actualizau constant fișiere pentru a simula activitate și întreținere regulată.

Un set de tipare identificate în numele de utilizator și adresele de email asociate sugerează o operațiune semi-automatizată, posibil cu legătură la o rețea de tip Distribution-as-a-Service activă din 2022.

Campania a avut ca efect infectarea altor hackeri sau trișori care încercau să folosească instrumentele respective, demonstrând că unor cibercriminali nu le pasă cine le cade în plasă atâta timp cât obțin informații sensibile.

Tags

Picture of Mihai Barnea

Mihai Barnea

Tânăr aspirant la statutul de jurnalist, ajuns deocamdată la nivelul de reporter subscris principiului de informare corectă a publicului.
știri conexe
Stay Connected
Like Us On Facebook
Follow Us On Twitter
Subscribe To Our Channel
ultimele știri
Category
Lorem ipsum dolor sit amet, consectetur adipiscing elit eiusmod tempor ncididunt ut labore et dolore magna