黑客利用 GitHub 上的破解软件传播 RisePro 信息窃取程序

网络安全研究人员发现许多 GitHub 存储库提供破解软件，这些软件用于传播名为 RisePro 的信息窃取程序。

据 G-DATA 称，该活动代号为gitgub ，包括与 11 个不同账户相关的 17 个存储库。此后，相关存储库已被删除。

这家德国网络安全公司表示：“这些存储库看起来很相似，都有一个 README.md 文件，并承诺提供免费破解软件。”

“Github 上通常使用绿色和红色圆圈来显示自动构建的状态。Gitgub 攻击者在他们的 README.md 中添加了四个绿色 Unicode 圆圈，假装在当前日期旁边显示状态，并提供合法性和新近度的感觉。”

存储库列表如下，每个存储库都指向一个包含 RAR 存档文件的下载链接（“digitalxnetwork[.]com”）

• andreastanaj/AVAST

• andreastanaj/Sound-Booster

• aymenkort1990/fabfilter

• BenWebsite/-IObit-Smart-Defrag-Crack

• Faharnaqvi/VueScan-Crack

• javisolis123/Voicemod

• lolusuary/AOMEI-Backupper

• lolusuary/Daemon-Tools

• lolusuary/EaseUS-Partition-Master

• lolusuary/SOOTHE-2

• mostofakamaljoy/ccleaner

• rik0v/ManyCam

• Roccinhu/Tenorshare-Reiboot

• Roccinhu/Tenorshare-iCareFone

• True-Oblivion/AOMEI-Partition-Assistant

• vaibhavshiledar/droidkit

• vaibhavshiledar/TOON-BOOM-HARMONY

RAR 存档要求受害者提供存储库 README.md 文件中提到的密码，其中包含一个安装程序文件，该文件解压下一阶段的有效负载，这是一个膨胀到 699 MB 的可执行文件，旨在使分析工具崩溃，例如IDA 专业版。

该文件的实际内容（总计仅为 3.43 MB）充当加载程序，将 RisePro（版本 1.6）注入 AppLaunch.exe 或 RegAsm.exe 中。

RisePro 在 2022 年底突然成为人们关注的焦点，当时它使用名为 PrivateLoader 的按安装付费 (PPI) 恶意软件下载服务进行分发。

它用 C++ 编写，旨在从受感染的主机收集敏感信息并将其渗透到两个 Telegram 通道，攻击者经常使用这两个通道来提取受害者的数据。

Checkmarx 最近的研究表明，可以渗透攻击者的机器人并将消息转发到另一个 Telegram 帐户。

Splunk 详细介绍了Snake Keylogger采用的策略和技术，将其描述为一种窃取恶意软件，“采用多方面的方法进行数据泄露”。

“FTP 的使用有助于文件的安全传输，而 SMTP 则可以发送包含敏感信息的电子邮件。”Splunk说。“此外，与 Telegram 的集成提供了一个实时通信平台，可以立即传输被盗数据。”

信息窃取恶意软件变得越来越流行，常常成为勒索软件和其他高影响力数据泄露的主要载体。根据 Specops 本周发布的一份报告，RedLine、Vidar 和 Raccoon 已成为使用最广泛的窃取者，仅 RedLine 在过去六个月中就窃取了超过 1.703 亿个密码。

Flashpoint 在 2024 年 1 月指出：“当前信息窃取恶意软件的兴起清楚地提醒人们，数字威胁不断演变。虽然其使用背后的动机几乎总是植根于经济利益，信息窃取者正在不断适应，同时攻击工具也更容易获得和使用。”

参考链接：https://thehackernews.com/2024/03/hackers-using-cracked-software-on.html