Pesquisadores de segurança do Cisco Talos descobriram um operador de malware como serviço (MaaS) que estava usando contas públicas do GitHub para distribuir vários malwares.
Fonte da imagem: Rubaitul Azad / unsplash.com
O GitHub se tornou uma plataforma simples e confiável para o serviço de hackers, considerado confiável em muitas redes corporativas: as próprias empresas o utilizam como repositório de código ao desenvolver seus próprios softwares, de modo que o domínio do serviço geralmente não é bloqueado por filtros da web. Muitas organizações com departamentos de desenvolvimento precisam de acesso ao GitHub de uma forma ou de outra. Após receber uma notificação da Talos, a administração do GitHub excluiu três contas que hospedavam malware.
O incidente está relacionado a uma campanha em andamento desde fevereiro. Ela utiliza um downloader de malware conhecido como Emmenhtal e PeakLight, que já havia sido distribuído por e-mail. Os pesquisadores da Talos descobriram a mesma variante do Emmenhtal como parte de uma operação comercial de MaaS, só que desta vez a fonte de distribuição foi o GitHub. O que distingue este ataque é a instalação da plataforma Amadey nos computadores das vítimas. Este malware foi descoberto pela primeira vez em 2018 e foi inicialmente usado para criar botnets. A principal função do Amadey é coletar informações do sistema de dispositivos infectados e baixar payloads secundários, dependendo da configuração do sistema e dos objetivos de um ataque específico.
Após infectar um sistema com o malware Amadey, os operadores da campanha determinaram quais payloads enviar para o dispositivo usando uma URL simples do GitHub. Os scripts Emmenhtal, neste caso, tinham a mesma estrutura de quatro camadas: três serviam para ofuscação e a quarta atuava como um downloader implementado como um script do PowerShell. O malware no GitHub estava disfarçado como arquivos MP4, e o downloader do Python era chamado checkbalance.py.