Hackers estão fazendo projetos falsos do Github para roubar criptografia: Kaspersky
Os hackers estão criando centenas de projetos falsos do Github, com o objetivo de enganar os usuários a baixar malware criptográfico e de roubo de credenciais, diz a empresa de segurança cibernética Kaspersky.
O analista da Kaspersky, Georgy Kucherin, disse em um relatório de 24 de fevereiro que a campanha de malware, que a empresa apelidou de “Gitvenom”, viu hackers criando centenas de repositórios no Github que hospedam projetos falsos que contêm acesso remoto Trojans (ratos), roubo de informações e clipes Seqüestradores.
Alguns dos projetos falsificados incluem um bot de telegrama que gerencia as carteiras de Bitcoin e uma ferramenta para automatizar as interações da conta do Instagram.
A Kucherin acrescentou que os fabricantes de malware “se esforçaram muito” para tornar os projetos legítimos, incluindo arquivos de informações e instruções “bem projetados” que foram “possivelmente gerados usando ferramentas de IA”.
Aqueles por trás dos projetos maliciosos também inflaram artificialmente o número de “Commits” ou mudanças no projeto, além de adicionar várias referências a alterações específicas para dar a aparência de que o projeto estava sendo melhorado ativamente.
“Para fazer isso, eles colocaram um arquivo de data e hora nesses repositórios, que foi atualizado a cada poucos minutos.”
Um exemplo do que Kaspersky disse que é um arquivo de instrução “bem projetado” incluído no que apresenta como um jogo de apostas. Fonte: Kaspersky
“Claramente, ao projetar esses projetos falsos, os atores se esforçaram ao máximo para fazer com que os repositórios pareçam legítimos a metas em potencial”, disse Kucherin no relatório.
Os projetos não implementaram os recursos discutidos nos arquivos de instrução e explicador, com a Kaspersky descobrindo que eles “executaram ações sem sentido”.
Durante sua investigação, a Kaspersky encontrou vários projetos falsos que remontam a pelo menos dois anos e especulou o “vetor de infecção provavelmente é bastante eficiente” porque os hackers estão atraindo vítimas há algum tempo.
Independentemente de como o projeto falso se apresenta, Kucherin disse que todos têm “cargas úteis maliciosas” que baixam componentes como um ladrão de informações que leva credenciais salvas, dados da carteira de criptomoeda e histórico de navegação e o carrega para os hackers através do telegrama.
Outro componente malicioso usa um seqüestrador de área de transferência que busca a carteira de criptografia e os substitui por os controlados pelo atacante.
Kucherin disse que esses aplicativos maliciosos prenderam pelo menos um usuário em novembro, quando uma carteira controlada por hackers recebeu 5 Bitcoin (BTC), atualmente no valor de cerca de US $ 442.000.
O malware coleta informações como credenciais salvas, dados da carteira de criptografia e histórico de navegação e o carrega para os hackers através do telegrama. Fonte: Kaspersky
A campanha do Gitvenom foi observada em todo o mundo, mas tem um foco elevado em infectar usuários da Rússia, Brasil e Turquia, de acordo com Kaspersky.
Relacionado: Perdas de ransomware em queda de 35% ano a ano: Chainesisis
Kucherin diz que, como as plataformas de compartilhamento de código como o GitHub são usadas por milhões de desenvolvedores em todo o mundo, os atores de ameaças continuarão usando o software falso como atração de infecção.
Ele aconselhou que era essencial verificar quais ações qualquer código de terceiros executa antes do download.
Kucherin acrescentou que a empresa esperava que os atacantes continuassem publicando projetos maliciosos, mas “possivelmente com pequenas mudanças” em suas táticas, técnicas e procedimentos.
Revista: Reivindicações de ‘controle mental’ de US $ 6,8 milhões da ETH Whale, roubos de energia de bitcoin: Asia Express