Check Point研究人员发现了一个广泛的GitHub帐户网络,他们认为该网络提供了恶意软件和网络钓鱼链接分发即服务。
“Stargazers Ghost Network”由一个被研究人员称为Stargazer Goblin的威胁组织建立和运营,估计包含3000多个活跃帐户,其中一些由该团体创建,另一些被劫持。
他们发现:“该网络分布了各种恶意软件家族,包括Atlantida Stealer、Rhadamanthys、RisePro、Lumma Stealer和RedLine。”
设置
威胁行为者总是想出新的方法来传递恶意软件,而不会被受害者、安全软件和他们(错误)使用其产品和资产的组织检测到。
Check Point研究员Antonis Terefos解释说:“以前,GitHub被用来直接分发恶意软件,恶意脚本下载原始加密脚本代码或恶意可执行文件。”
“威胁者现在运营一个’幽灵’帐户网络,通过恶意链接在其存储库和加密档案上分发恶意软件,作为发布。”
尽管GitHub努力标记和暂停违规帐户并删除恶意存储库,他们如何保持网络运行?
威胁者正在使用各种伎俩。如前所述,恶意文件或档案受密码保护,以阻止扫描解决方案。
另一个诀窍是在各种帐户之间划分“责任”:一些帐户提供带有外部网站或恶意存储库的恶意下载链接的网络钓鱼模板,另一些帐户为网络钓鱼模板提供图像,而另一些帐户仍然为恶意软件提供服务(作为发布中受密码保护的存档)。
Stargazers Ghost Network中的帐户扮演各种角色(来源:Check Point Research)
当第三类帐户被禁止时,威胁者更容易恢复正常运营:他们只需更新第一类帐户中的链接,以指向新的下载网站或新的活跃恶意发布。
最后,一些幽灵帐户执行各种其他操作——例如主演、分叉和订阅恶意存储库——以使其他帐户对潜在受害者和GitHub来说是合法的。这些活动似乎是自动化的。
通过3000个GitHub帐户分发恶意软件
Terefos分享说:“在短暂的监控期间,我们发现了2200多个正在发生’幽灵’活动的恶意存储库。”
在2024年1月的四天里,Stargazers Ghost Network将Atlantida stealer分发给了1300多名受害者。
“与GitHub存储库的恶意链接可能是通过Discord渠道分发的。这些存储库针对的是想要在YouTube、Twitch和Instagram上增加粉丝的各类受害者,还包含破解软件和其他加密相关活动的网络钓鱼模板,”他补充说。(诱饵总是许多用户寻找的东西。)
根据在暗网论坛上找到的服务广告,该网络自2023年7月以来一直在启动和运行,甚至可能更早,规模较小。
“我们相信,Stargazer Goblin创造了一个在GitHub、Twitter、YouTube、Discord、Instagram、Facebook等各种平台上运行的Ghost帐户宇宙。与GitHub类似,其他平台可用于使恶意网络钓鱼合法化,并通过帖子、存储库、视频、推文和渠道向受害者分发链接和恶意软件,这取决于每个平台提供的功能,”Terefos指出。
GitHub已经关闭了1500多个存储库和相关的GitHub帐户,但在2024年6月,仍有200多个独特的存储库推送恶意链接。
“未来Ghost帐户可能会利用人工智能(AI)模型来生成更有针对性和多样化的内容,从文本到图像和视频。通过考虑目标用户的回复,这些人工智能驱动的帐户不仅可以通过标准化模板,还可以通过根据真实用户的需求和互动量身定制的响应来推广网络钓鱼材料,”他总结道。
参考链接:https://www.helpnetsecurity.com/2024/07/24/github-accounts-malware-distribution/
暂无评论内容