Основы Интернет - технологий.

Специалисты Check Point сообщают, что группировка Stargazer Goblin создала масштабный сервис для распространения малвари и использует для этого более 3000 аккаунтов на GitHub, через которые в настоящее время доставляются инфостилеры. Сервис хакеров называется Stargazers Ghost Network. Он использует репозитории на GitHub и взломанные сайты под управлением WordPress для распространения защищенных паролем архивов, содержащих малварь. В большинстве случаев вредоносные программы представляют собой инфостилеры (включая RedLine, Lumma, Rhadamanthys, RisePro и Atlantida). Исследователи пишут, что это первый случай обнаружения настолько хорошо организованной и крупной преступной схемы, работающей через GitHub. «Кампании, проводимые Stargazers Ghost Network, и вредоносное ПО, распространяемое через этот сервис, чрезвычайно успешны, — гласит отчете Check Point. — За короткий промежуток времени тысячи жертв установили ПО из легитимных на первый взгляд репозиториев, не подозревая о злом умысле. Ориентированные на жертв фишинговые шаблоны позволяют злоумышленникам атаковать пользователей с определенными профилями и онлайн-аккаунтами, что делает такие заражения еще более ценными». С июня 2023 года участники Stargazer Goblin активно рекламируют свой сервис по распространению малвари в даркнете. Однако исследователи пишут, что обнаружили доказательства его активности еще в августе 2022 года, и полагают, что с момента запуска сервиса хакеры заработали более 100 000 долларов. Реклама Stargazers Ghost Network в даркнете По данным специалистов, Stargazer Goblin разработали схему, в рамках которой они создают сотни репозиториев, используя для этого 3000 «аккаунтов-призраков». Такие аккаунты добавляют звезды, создают форки и подписываются на вредоносные репозитории, чтобы повысить их видимую легитимность и увеличить вероятность попадания в раздел с трендами на GitHub. «Аккаунты-призраки» Вредоносные репозитории используют названия реальных проектов и теги, ориентированные на конкретные интересы, например криптовалюты, игры и социальные сети. Различные фишинговые шаблоны «Аккаунты-призраки» выполняют разные роли. Так, одна группа отвечает за фишинговый шаблон, другая — за фишинговые изображения, а третья — за саму малварь, что придает схеме определенную устойчивость. «Третий тип аккаунтов, который распространяет вредоносное ПО, с большей вероятностью будет обнаружен. Когда это происходит, GitHub банит учетную запись, репозиторий и связанные с ним релизы. В ответ на это Stargazer Goblin обновляет фишинговый репозиторий первого типа аккаунтов ссылкой на новый активный вредоносный релиз. Это позволяет схеме продолжать работу с минимальными потерями, когда распространяющий вредоносное ПО аккаунт оказывается заблокирован». Распределение ролей аккаунтов В Check Point рассказывают, что обнаружили на YouTube туториал для неназванного ПО, который ссылался на один из GitHub-репозиториев Stargazers Ghost Network. Исследователи считают, что это мог быть один из многочисленных каналов, используемых для перенаправления трафика на фишинговые репозитории и сайты, распространяющие малварь. В одном из приведенных исследователями примеров, GitHub-репозиторий перенаправлял посетителей на взломанный сайт на базе WordPress, откуда жертвам предлагалось загрузить ZIP-архив, содержащий HTA-файл с VBScript. Этот VBScript инициировал выполнение двух PowerShell-скриптов, которые в итоге приводили к развертыванию стилера Atlantida в системе пользователя. Схема описанной атаки Хотя специалисты GitHub активно борются с многочисленными вредоносными репозиториями, удалив более 1500 из них с мая 2024 года, в Check Point отмечают, что более 200 репозиториев по-прежнему активны и продолжают распространять вредоносное ПО. Количество вредоносных репозиториев, связанных с Stargazers Ghost Network Исследователи рекомендуют пользователям, пришедшим на GitHub через вредоносную рекламу, результаты поиска Google, видеоролики на YouTube, Telegram или социальные сети, быть очень осторожными при загрузке файлов и переходе по сслыкам. Особенно это касается защищенных паролем архивов, которые не могут быть проверены антивирусным ПО. Такие файлы рекомендуется распаковывать на виртуальной машине и проверять содержимое антивирусом. А если виртуальная машина недоступна, можно воспользоваться VirusTotal. Защищенный паролем архив с малварью