https://market.yandex.ru/?clid=3818306

Хакерская сеть тихо распространяет вредоносное ПО на GitHub

Сеть из 3000 аккаунтов GitHub используется для распространения вредоносного ПО

216

В ходе двух различных кампаний сеть была использована для заражения более 1300 жертв вирусом Atlantida Stealer менее чем за четыре дня и более 1000 человек вирусом Rhadamanthys за две недели.

Хакерская сеть тихо распространяет вредоносное ПО на GitHub
Источник: https://www.bleepstatic.com/

По данным Check Point, злоумышленник создал сеть из более чем 3000 учётных записей GitHub для распространения вредоносного ПО и ссылок, а также для осуществления других вредоносных действий.

Известный как Stargazer Goblin, злоумышленник создавал сеть с августа 2022 года, используя её в операции по распространению как услуге (DaaS), в ходе которой жертв заманивают в фишинговые репозитории.

Учётные записи, которые Check Point в совокупности называет Stargazers Ghost Network, были замечены в распространении вредоносного ПО для кражи информации, такого как Atlantida Stealer, Lumma Stealer, Rhadamanthys, RisePro и RedLine.

Stargazer Goblin начал рекламировать DaaS на подпольных форумах в июле 2023 года и, по оценкам, заработал более $100 000 с момента создания Ghost Network. С середины мая по середину июня 2024 года злоумышленник заработал около $8 000 на вредоносной деятельности.

Для пометки и проверки вредоносных ссылок, распространяемых через Stargazers Ghost Network, используются несколько учётных записей GitHub, чтобы они выглядели как настоящие, а для создания фишинговых шаблонов, ориентированных на различные социальные платформы, применяется автоматизация.

Компания по кибербезопасности также обнаружила, что учётные записи в сети взаимодействуют с несколькими другими репозиториями Ghost, в том числе подписываясь на них, ставя отметки «Нравится» релизам GitHub, на которые ведут вредоносные ссылки, или делая коммиты во вредоносных фишинговых файлах README.md.

Назначая разные роли учётным записям, а именно: repository-phishing, commit-link, Stargazer и другие учётные записи, злоумышленник гарантирует, что не все они будут забанены или приостановлены, и что сеть продолжит работу. 

Перевод выполнен журналистом издания Techno Dzen. При полном или частичном использовании материала гиперссылка обязательна.

Источник:

www.securityweek.com

Автор:

Юрий Наумов

Категория:

Технологии