Los investigadores de Check Point han descubierto una extensa red de cuentas de GitHub que creen que proporcionan malware y enlaces de phishing Distribution-as-a-Service.
Se estima que la “Red Fantasma Stargazers”, creada y operada por un grupo de amenazas al que los investigadores denominaron Stargazer Goblin, abarca más de 3.000 cuentas activas, algunas creadas por el grupo y otras secuestradas.
“La red distribuía todo tipo de familias de malware, incluidas Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer y RedLine”, descubrieron.
La puesta en marcha
Los actores de amenazas siempre están ideando nuevas formas de distribuir malware sin ser detectados por las víctimas, el software de seguridad y las organizaciones cuyas ofertas y activos están (mal)utilizando.
“Anteriormente, GitHub se utilizaba para distribuir software malicioso directamente, mediante un script malicioso que descargaba código de script cifrado sin procesar o ejecutables maliciosos”, explicó el investigador de Check Point Antonis Terefos .
“Los actores de amenazas ahora operan una red de cuentas ‘fantasma’ que distribuyen malware a través de enlaces maliciosos en sus repositorios y archivos cifrados a medida que se publican”.
¿Cómo mantienen la red en funcionamiento a pesar de los esfuerzos de GitHub por marcar y suspender las cuentas infractoras y eliminar repositorios maliciosos?
Los actores de amenazas utilizan una variedad de trucos. Como se mencionó anteriormente, los archivos o archivos maliciosos están protegidos con contraseña para obstaculizar las soluciones de escaneo.
Otro truco es dividir las “responsabilidades” entre varias cuentas: algunas cuentas sirven plantillas de phishing con enlaces de descarga maliciosos a sitios web externos o repositorios maliciosos, otras proporcionan la imagen para la plantilla de phishing y otras aún sirven el malware (como un archivo protegido con contraseña en una versión).
Las cuentas de la red Stargazers Ghost cumplen diversas funciones (Fuente: Check Point Research)
Esto hace que sea más fácil para el actor de amenazas volver a la normalidad cuando se bloquea esa tercera categoría de cuentas: simplemente actualizan el enlace en la primera categoría de cuentas para apuntar a un nuevo sitio de descarga o una nueva versión maliciosa activa.
Por último, algunas cuentas fantasma realizan una variedad de otras acciones (como destacar, bifurcar y suscribirse a repositorios maliciosos) para que las otras cuentas parezcan legítimas ante las posibles víctimas y ante GitHub. Estas actividades parecen estar automatizadas.
Distribución de malware a través de 3.000 cuentas de GitHub
“En un breve período de monitoreo, descubrimos más de 2.200 repositorios maliciosos donde ocurrían actividades ‘fantasmas’”, compartió Terefos.
Durante cuatro días de enero de 2024, la Red Fantasma Stargazers distribuyó el ladrón de Atlantida a más de 1.300 víctimas.
“Los enlaces maliciosos a los repositorios de GitHub posiblemente se distribuyeron a través de canales de Discord. Los repositorios estaban dirigidos a varios tipos de víctimas que querían aumentar sus seguidores en YouTube, Twitch e Instagram y también contenían plantillas de phishing para software pirateado y otras actividades relacionadas con las criptomonedas”, agregó. (Los señuelos son siempre algo que muchos usuarios buscan).
Según los anuncios del servicio encontrados en foros de la dark web, la red está en funcionamiento desde julio de 2023, y posiblemente incluso antes, en menor escala.
“Creemos que Stargazer Goblin creó un universo de cuentas fantasma que operan en varias plataformas como GitHub, Twitter, YouTube, Discord, Instagram, Facebook y muchas otras. Al igual que GitHub, se pueden utilizar otras plataformas para legitimar el phishing malicioso y distribuir enlaces y malware a las víctimas a través de publicaciones, repositorios, videos, tweets y canales, según las características que ofrezca cada plataforma”, señaló Terefos.
GitHub ya ha eliminado más de 1500 repositorios y cuentas de GitHub relacionadas, pero en junio de 2024 todavía había más de 200 repositorios únicos que difundían enlaces maliciosos.
“Las futuras cuentas fantasma podrían utilizar modelos de inteligencia artificial (IA) para generar contenido más específico y diverso, desde texto hasta imágenes y videos. Al tener en cuenta las respuestas de los usuarios específicos, estas cuentas impulsadas por IA podrían promover material de phishing no solo a través de plantillas estandarizadas, sino también a través de respuestas personalizadas adaptadas a las necesidades e interacciones de los usuarios reales”, concluyó.
Fuente y redacción: Zeljka Zorz / helpnetsecurity.com
