Mais de 3000 contas comprometidas do GitHub usadas para distribuir malware
Um individuo conhecido apenas como “Stargazer Goblin” estará no controlo de um novo malware Distribution-as-a-Service (DaaS), que está a ser usado para distribuir malware por vários sistemas usando como base contas do GitHub comprometidas.
O serviço em questão é apelidado de Stargazers Ghost Network, e fornece meios de distribuir malware através de contas comprometidas do GitHub. Estas contas são usadas para alojar os ficheiros com conteúdos maliciosos, a maioria encriptado em ficheiros comprimidos por senhas, de forma a evitar a deteção. A rede usa ainda sites WordPress comprometidos como forma de alojar os conteúdos.
A maioria do malware distribuído por esta rede são infostealers, usados para roubar dados de login dos navegadores nos sistemas infetados. No entanto, o foco encontra-se em usar uma plataforma aparentemente legítima para alojar os conteúdos, que possivelmente não será bloqueada na maioria das soluções de segurança.
Tendo em conta que o GitHub é uma plataforma reconhecida, normalmente, como segura, o malware pode passar por alguns filtros de segurança e de spam, tornando as campanhas de distribuição dos mesmos consideravelmente mais eficazes.
De acordo com os investigadores da Check Point Research, estas campanhas são bastante eficazes em levar a que as vítimas possam descarregar os conteúdos, sem se aperceberem que é um conteúdo malicioso.
Stargazer Goblin, a pessoa conhecida como estando atrás destas operações, tem vindo a anunciar as mesmas em vários sites da dark web desde junho de 2023. No entanto, existem detalhes que apontam para as atividades estarem ativas desde 2022.
Os investigadores apontam que os criadores deste serviço já terão juntado mais de 100.000 dólares em receitas das suas atividades.