Các nhà nghiên cứu an ninh mạng đã tìm thấy một số kho lưu trữ GitHub cung cấp phần mềm bẻ khóa được sử dụng để cung cấp một công cụ đánh cắp thông tin có tên RisePro.
Chiến dịch, có tên mã là gitgub, bao gồm 17 kho lưu trữ được liên kết với 11 tài khoản khác nhau, theo G DATA. Các kho lưu trữ được đề cập đã bị gỡ xuống bởi công ty con thuộc sở hữu của Microsoft.
"Các kho lưu trữ trông giống nhau, có một tệp README.md với lời hứa về phần mềm bẻ khóa miễn phí", công ty an ninh mạng Đức cho biết.
"Vòng tròn màu xanh lá cây và màu đỏ thường được sử dụng trên Github để hiển thị trạng thái của các bản dựng tự động. Các tác nhân đe dọa Gitgub đã thêm bốn vòng tròn Unicode màu xanh lá cây vào README.md của họ giả vờ hiển thị trạng thái cùng với ngày hiện tại và mang lại cảm giác hợp pháp và gần đây.
Danh sách các kho lưu trữ như sau, với mỗi kho trỏ đến một liên kết tải xuống ("digitalxnetwork[.] com") chứa tệp lưu trữ RAR -
- andreastanaj/AVAST
- andreastanaj / Tăng cường âm thanh
- aymenkort1990/fabfilter
- BenWebsite/-IObit-Smart-Defrag-Crack
- Faharnaqvi / VueScan-Crack
- javisolis123/Voicemod
- lolusuary/AOMEI-Backupper
- lolusuary/Daemon-Tools
Kho lưu trữ RAR, yêu cầu nạn nhân cung cấp mật khẩu được đề cập trong tệp README.md của kho lưu trữ, chứa tệp trình cài đặt, giải nén tải trọng giai đoạn tiếp theo, một tệp thực thi được tăng lên 699 MB trong nỗ lực đánh sập các công cụ phân tích như IDA Pro.
Nội dung thực tế của tệp - chỉ lên tới 3,43 MB - hoạt động như một trình tải để đưa RisePro (phiên bản 1.6) vào AppLaunch.exe hoặc RegAsm.exe.
Được viết bằng C ++, nó được thiết kế để thu thập thông tin nhạy cảm từ các máy chủ bị nhiễm và trích xuất nó đến hai kênh Telegram, thường được các tác nhân đe dọa sử dụng để trích xuất dữ liệu của nạn nhân. Thật thú vị, nghiên cứu gần đây từ Checkmarx cho thấy có thể xâm nhập và chuyển tiếp tin nhắn từ bot của kẻ tấn công sang một tài khoản Telegram khác.
Sự phát triển này xuất hiện khi Splunk trình bày chi tiết các chiến thuật và kỹ thuật được áp dụng bởi Snake Keylogger, mô tả nó như một phần mềm độc hại đánh cắp "sử dụng cách tiếp cận nhiều mặt để lọc dữ liệu".
"Việc sử dụng FTP tạo điều kiện thuận lợi cho việc truyền tệp an toàn, trong khi SMTP cho phép gửi email chứa thông tin nhạy cảm", Splunk nói. "Ngoài ra, tích hợp với Telegram cung cấp một nền tảng giao tiếp thời gian thực, cho phép truyền ngay lập tức dữ liệu bị đánh cắp."
Theo một báo cáo từ Specops được công bố trong tuần này, RedLine, Vidar và Raccoon đã nổi lên như những kẻ đánh cắp được sử dụng rộng rãi nhất, chỉ riêng RedLine đã chiếm hơn 170,3 triệu mật khẩu trong sáu tháng qua.