3 min de lectura

292 repositorios falsos de GitHub distribuyen malware infostealer

Arctic Wolf encontró 292 repositorios en GitHub que suplantaban software de confianza para distribuir un infostealer similar a BoryptGrab a través de páginas de descarga falsas.

Imagen: BleepingComputer

Cientos de repositorios falsos en GitHub se han usado para suplantar software legítimo y herramientas de seguridad en una campaña de malware que distribuye un infostealer a víctimas que buscan descargas.

Según Arctic Wolf, la operación apuntó a usuarios que buscaban productos de seguridad, servicios de criptomonedas, herramientas financieras, utilidades para desarrolladores, proveedores de correo electrónico seguro, utilidades para macOS y software de juegos. El malware está diseñado para recopilar datos de más de 19 navegadores web, robar información de 32 monederos de criptomonedas y extraer datos sensibles de plataformas de mensajería y redes sociales.

Arctic Wolf afirma que descubrió la actividad después de que uno de sus propios productos fuera suplantado a partir del 26 de junio. En total, los investigadores identificaron 292 repositorios falsos, cada uno con un README que enlazaba a una página de descarga maliciosa.

Recomendado

Progress parchea zero-day de ShareFile tras el apagado

Repositorio falso de GitHub con insignias de autenticidad
Repositorio falso de GitHub con insignias de autenticidad

Las páginas de destino falsas estaban diseñadas para parecer confiables, usando señales de marca como insignias de confianza falsificadas y un botón “Descargar contenido seguro”. Arctic Wolf indicó que la infraestructura depende de un único artefacto HTML/JS con plantilla reutilizado en todas las marcas suplantadas. El script analiza la URL para extraer un user_code rotatorio y un dominio referidor, y después renderiza dinámicamente la marca visible convirtiendo guiones en espacios y aplicando mayúsculas tipo título.

La página de destino maliciosa
La página de destino maliciosa

La página sirve un gran archivo ZIP cuyo nombre de archivo y carga útil cambian aproximadamente cada minuto. En su interior hay un libcurl.dll troyanizado y un actualizador WinGUP legítimo firmado renombrado para coincidir con el producto suplantado.

“Cuando el usuario ejecuta el ejecutable, gup.exe carga lateralmente libcurl.dll, que decodifica y ejecuta de forma reflectiva un infostealer incrustado completamente en memoria.”

Arctic Wolf

El stealer parece ser una variante de la familia BoryptGrab. Arctic Wolf dice que puede recopilar:

  • contraseñas, cookies, datos de pago y otra información de 19 navegadores web
  • datos de 32 marcas de monederos de criptomonedas
  • sesiones de Telegram, tokens de Discord y tokens de sesión de Steam
  • credenciales de la aplicación de mensajería Max de Meta
  • contenidos del Windows Credential Manager
  • archivos del Escritorio y de Documentos que parezcan relacionados con contraseñas, monederos, frases de recuperación o copias de seguridad
  • capturas de pantalla, detalles del sistema y listas de software instalado

Los investigadores también dijeron que esta variante muestra una capacidad hasta ahora no documentada para eludir Chrome App-Bound Encryption inyectando código directamente en el proceso del navegador. Los datos robados se comprimen y se envían a un servidor de mando y control con base en Rusia.

Flujo de ejecución y robo de datos del stealer
Flujo de ejecución y robo de datos del stealer

Arctic Wolf indicó que el malware no establece persistencia y, en su lugar, intenta robar la mayor cantidad de datos posible en una sola ejecución. Tampoco cuenta con una capa anti-análisis y deja los datos robados preparados en un directorio temporal, lo que crea evidencia forense.

Al momento del informe, GitHub había eliminado muchos de los repositorios maliciosos, pero varias docenas de redireccionadores de GitHub Pages seguían activos. Arctic Wolf no pudo atribuir la campaña a un actor específico, aunque evaluó que el operador probablemente habla ruso y está motivado financieramente. La compañía también publicó una regla Yara y los indicadores de compromiso relacionados para los defensores.

imagen del artículo
imagen del artículo
Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía BleepingComputer

// Sigue leyendo