Los investigadores de ciberseguridad han encontrado varios repositorios de GitHub que ofrecen software descifrado que se utiliza para entregar un ladrón de información llamado RisePro.
La campaña, cuyo nombre en clave githubincluye 17 repositorios asociados con 11 cuentas diferentes, según G DATA. Desde entonces, la filial propiedad de Microsoft ha eliminado los repositorios en cuestión.
“Los repositorios tienen un aspecto similar, con un archivo README.md que promete ser software descifrado y gratuito”, dijo la empresa alemana de ciberseguridad.
“Los círculos verdes y rojos se usan comúnmente en Github para mostrar el estado de las compilaciones automáticas. Los actores de amenazas de Gitgub agregaron cuatro círculos verdes Unicode a su README.md que pretenden mostrar un estado junto con una fecha actual y brindar una sensación de legitimidad y actualidad. “
La lista de repositorios es la siguiente, y cada uno de ellos apunta a un enlace de descarga (“digitalxnetwork[.]com”) que contiene un archivo RAR –
- andreastanaj/AVAST
- andreastanaj/Sound-Booster
- aymenkort1990/fabfilter
- BenWebsite/-IObit-Smart-Defrag-Crack
- Faharnaqvi/VueScan-Crack
- javisolis123/Voicemod
- lolusuario/AOMEI-Backupper
- lolusuario/Daemon-Tools
- lolusuario/EaseUS-Partition-Master
- lolusario/CALMA-2
- mostofakamaljoy/ccleaner
- rik0v/ManyCam
- Roccinhu/Tenorshare-Reiboot
- Roccinhu/Tenorshare-iCareFone
- True-Oblivion/AOMEI-Partition-Asistente
- vaibhavshiledar/droidkit
- vaibhavshiledar/TOON-BOOM-ARMONÍA
El archivo RAR, que requiere que las víctimas proporcionen una contraseña mencionada en el archivo README.md del repositorio, contiene un archivo de instalación, que descomprime la carga útil de la siguiente etapa, un archivo ejecutable que se infla a 699 MB en un esfuerzo por bloquear herramientas de análisis como IDA Pro.
El contenido real del archivo, que ocupa apenas 3,43 MB, actúa como un cargador para inyectar RisePro (versión 1.6) en AppLaunch.exe o RegAsm.exe.
RisePro saltó a la fama a finales de 2022 cuando se distribuyó mediante un servicio de descarga de malware de pago por instalación (PPI) conocido como PrivateLoader.
Escrito en C++, está diseñado para recopilar información confidencial de hosts infectados y exfiltrarla a dos canales de Telegram, que a menudo utilizan los actores de amenazas para extraer los datos de las víctimas. Curiosamente, una investigación reciente de Checkmarx demostró que es posible infiltrarse y reenviar mensajes desde el bot de un atacante a otra cuenta de Telegram.
El desarrollo se produce cuando Splunk detalló las tácticas y técnicas adoptadas por Snake Keylogger, describiéndolo como un malware ladrón que “emplea un enfoque multifacético para la exfiltración de datos”.
“El uso de FTP facilita la transferencia segura de archivos, mientras que SMTP permite el envío de correos electrónicos que contienen información confidencial”, dijo Splunk. “Además, la integración con Telegram ofrece una plataforma de comunicación en tiempo real, lo que permite la transmisión inmediata de datos robados”.
El malware ladrón se ha vuelto cada vez más popular y a menudo se convierte en el principal vector de ransomware y otras filtraciones de datos de alto impacto. Según un informe de Specops publicado esta semana, RedLine, Vidar y Raccoon se han convertido en los ladrones más utilizados, y solo RedLine representó el robo de más de 170,3 millones de contraseñas en los últimos seis meses.
“El aumento actual del malware que roba información es un claro recordatorio de las amenazas digitales en constante evolución”, señaló Flashpoint en enero de 2024. “Si bien las motivaciones detrás de su uso casi siempre tienen su origen en la ganancia financiera, los ladrones se adaptan continuamente y son más accesibles y más fácil de usar.”
Fuente Original The Hacker News
