Los investigadores de ciberseguridad han encontrado varios repositorios de GitHub que ofrecen software descifrado que se utiliza para entregar un ladrón de información llamado RisePro.
La campaña, conocida en clave como “gitgub”, abarca 17 repositorios vinculados a 11 cuentas distintas, según G DATA. Desde entonces, la rama de Microsoft ha retirado esos repositorios.
“Estos repositorios tienen una estructura similar, con un archivo README.md que ofrece software descifrado gratuito”, mencionó la firma alemana de ciberseguridad.
“Los círculos rojos y verdes son habituales en Github para indicar el estado de las compilaciones automáticas. Los actores de amenazas de Gitgub añadieron cuatro círculos verdes Unicode a su README.md, simulando un estado actualizado junto con la fecha, para dar una impresión de autenticidad y vigencia”.
La lista de repositorios es la siguiente, y cada uno de ellos apunta a un enlace de descarga (“digitalxnetwork[.]com”) que contiene un archivo RAR:
- andreastanaj/AVAST
- andreastanaj/Sound-Booster
- aymenkort1990/fabfilter
- BenWebsite/-IObit-Smart-Defrag-Crack
- Faharnaqvi/VueScan-Crack
- javisolis123/Voicemod
- lolusuario/AOMEI-Backupper
- lolusuario/Daemon-Tools
- lolusuario/EaseUS-Partition-Master
- lolusario/CALMA-2
- mostofakamaljoy/ccleaner
- rik0v/ManyCam
- Roccinhu/Tenorshare-Reiboot
- Roccinhu/Tenorshare-iCareFone
- True-Oblivion/AOMEI-Partition-Asistente
- vaibhavshiledar/droidkit
- vaibhavshiledar/TOON-BOOM-ARMONÍA
El archivo RAR de la campaña, que solicita una contraseña mencionada en el archivo README.md, contiene un instalador que descomprime la carga útil en un archivo ejecutable inflado a 699 MB, con el fin de evitar análisis como IDA Pro.
Sin embargo, el verdadero contenido, apenas ocupando 3,43 MB, actúa como un cargador para inyectar RisePro (versión 1.6) en AppLaunch.exe o RegAsm.exe.
RisePro ganó notoriedad a finales de 2022 cuando se distribuyó a través de un servicio de descarga de malware por pago por instalación (PPI) llamado PrivateLoader.
Fuente: https://thehackernews.com