Hackers sequestram o GitHub para distribuição em massa de malware como serviço

Pesquisadores de segurança do Cisco Talos descobriram um operador de malware como serviço (MaaS) que estava usando contas públicas do GitHub para distribuir vários malwares.

Fonte da imagem: Rubaitul Azad / unsplash.com

O GitHub se tornou uma plataforma simples e confiável para o serviço de hackers, considerado confiável em muitas redes corporativas: as próprias empresas o utilizam como repositório de código ao desenvolver seus próprios softwares, de modo que o domínio do serviço geralmente não é bloqueado por filtros da web. Muitas organizações com departamentos de desenvolvimento precisam de acesso ao GitHub de uma forma ou de outra. Após receber uma notificação da Talos, a administração do GitHub excluiu três contas que hospedavam malware.

O incidente está relacionado a uma campanha em andamento desde fevereiro. Ela utiliza um downloader de malware conhecido como Emmenhtal e PeakLight, que já havia sido distribuído por e-mail. Os pesquisadores da Talos descobriram a mesma variante do Emmenhtal como parte de uma operação comercial de MaaS, só que desta vez a fonte de distribuição foi o GitHub. O que distingue este ataque é a instalação da plataforma Amadey nos computadores das vítimas. Este malware foi descoberto pela primeira vez em 2018 e foi inicialmente usado para criar botnets. A principal função do Amadey é coletar informações do sistema de dispositivos infectados e baixar payloads secundários, dependendo da configuração do sistema e dos objetivos de um ataque específico.

Após infectar um sistema com o malware Amadey, os operadores da campanha determinaram quais payloads enviar para o dispositivo usando uma URL simples do GitHub. Os scripts Emmenhtal, neste caso, tinham a mesma estrutura de quatro camadas: três serviam para ofuscação e a quarta atuava como um downloader implementado como um script do PowerShell. O malware no GitHub estava disfarçado como arquivos MP4, e o downloader do Python era chamado checkbalance.py.