Эксперты предупреждают, что преступники создали тысячи учетных записей на GitHub для организации операции по распространению вредоносного программного обеспечения (ПО) как услуги и внедрения программ-инфокрадов на устройства разработчиков. Поскольку GitHub является крупной и надежной платформой, многие пользователи не ожидают, что им предоставят вредоносное ПО.

Вирусы на платформе GitHub

Специалисты компании Check Point рассказали о хакерах группировки Stargazer Goblin, которые разработали вредоносное ПО, распространяемое с помощью более чем 3 тыс. поддельных аккаунтов на платформе GitHub. Об этом в конце июля 2024 г. сообщило издание TechRadar.

По данным Check Point, служба доставки вредоносного ПО называется Stargazers Ghost Network и использует репозитории GitHub вместе со скомпрометированными сайтами WordPress (свободно распространяемая система управления содержимым сайта с открытым исходным кодом) для распространения защищенных паролем архивов, содержащих вредоносное ПО. В большинстве случаев вредоносное ПО представляет собой инфостилеры, такие как RedLine, Lumma Stealer, Rhadamanthys, RisePro и Atlantida Stealer.

Инфостилер - это вредоносное ПО, предназначенное для сбора и кражи конфиденциальной информации из системы: учетных записей и учетных данных, файлов cookie, данных кредитных карт, криптовалютных кошельков и так далее. Например, RedLine, который известен экспертам по кибербезопасности с 2020 г., позволяет злоумышленникам красть логины, пароли, cookie, данные банковских карт и криптокошельков, а также скачивать и запускать сторонние программы. ПО распространяется в том числе с помощью вредоносных спам-рассылок и сторонних загрузчиков.

Аналитики Check Point предупреждают о том, что поскольку GitHub является известным и надежным сервисом, люди относятся к нему с меньшим подозрением и с большей вероятностью будут переходить по ссылкам, которые найдут в репозиториях на платформе. Кампании, проводимые Stargazers Ghost Network, и вредоносное ПО, распространяемое через GitHub, чрезвычайно успешны. За короткий промежуток времени тысячи жертв установили ПО из, казалось бы, легитимного репозитория, не подозревая о каком-либо злом умысле. Шаблоны фишинга, ориентированные на жертву, позволяют хакерам заражать жертв с помощью определенных профилей и онлайн-аккаунтов, что делает заражения еще более ценными.

По информации TechRadar, Stargazers Ghost Network, названная специалистами Check Point в честь одного из первых обнаруженных ими аккаунтов. Сеть распространяет вредоносные репозитории GitHub, предлагающие загрузку инструментов для социальных сетей, игр и криптовалют. Например, страницы могут заявлять о предоставлении кода для запуска VPN или лицензирования версии Adobe Photoshop. В основном они нацелены на пользователей операционной системы (ОС) Windows, говорится в исследовании, и нацелены на то, чтобы извлечь выгоду из людей, которые потенциально ищут бесплатное ПО в интернете.

Оператор, стоящий за сетью, взимает плату с других хакеров за использование своих услуг, что Check Point называет «вредоносное ПО как услуга». Вредоносная сеть была замечена в распространении различных типов вредоносного ПО для вымогательства и кражи информации. Для GitHub может быть сложно идентифицировать эту активность, поскольку поведение учетных записей выглядит, как поведение настоящего пользователя GitHub. Инженер Check Point также сообщил, что он идентифицировал один «призрачный» аккаунт YouTube, который делился вредоносными ссылками через видео, что указывает на то, что сеть может быть более всеобъемлющей и выходит за пределы GitHub.

Вредоносное ПО как услуга

Вредоносное ПО как услуга или же Malware-as-a-Service (MaaS) - бизнес-модель, в рамках которой злоумышленники за определенную плату предоставляют своим партнерам доступ к вредоносному программному обеспечению и соответствующей инфраструктуре. MaaS представляет собой вредоносную вариацию модели Software-as-a-Service (SaaS) или ПО как услуга, а также является частью модели Cybercrime-as-a-Service (CaaS) или киберпреступление как услуга. Услуги типа MaaS (и в целом CaaS) обычно реализуются в даркнете.

Хакеры, предоставляющие вредоносное ПО по модели MaaS, называются операторами MaaS. Как правило, это организованные группы, внутри которых можно выделить следующие роли: разработчики вредоносного ПО, системные администраторы, менеджеры, группа технической поддержки и т.п. Сам же сервис, который предоставляют операторы MaaS, часто называют партнерской программой, а клиента, который пользуется им - партнером или адвертом.

Существует несколько вариантов оплаты Malware-as-a-service: единоразовая покупка вредоносного ПО; подписка на определенный срок; комиссия в размере определенного процента от прибыли, например доля от выкупа в случае Ransomware-as-a-Service (RaaS) или программы-вымогатели как услуга.

Модель MaaS может использоваться для «сдачи в аренду» ботнетов - сетей зараженных вредоносным ПО устройств. Эти ботнеты используются преимущественно для распространения вредоносных и нежелательных программ партнеров, например для рассылки спама или загрузки стороннего ПО на зараженные устройства, входящие в состав ботнета.

Источник: CNews