网络安全研究人员发现许多 GitHub 存储库提供破解软件,用于提供名为 RisePro 的信息窃取程序。
据G DATA称,该活动代号为gitgub,包括与11个不同帐户相关的17个存储库。此后,有问题的存储库已被Microsoft拥有的子公司删除。
这家德国网络安全公司表示:“这些存储库看起来很相似,具有一个 README.md 文件,并承诺提供免费破解软件。
“Github 上通常使用绿色和红色圆圈来显示自动构建的状态。Gitgub 威胁行为者在他们的 README.md 中添加了四个绿色的 Unicode 圆圈,这些圆圈假装在当前日期旁边显示状态,并提供合法性和新近感。
存储库列表如下,每个存储库都指向一个下载链接(“digitalxnetwork[.]com“) 包含 RAR 存档文件 -
-
安德烈阿斯塔纳伊/AVAST
-
andreastanaj/声音增强器
-
aymenkort1990/Fabfilter
-
BenWebsite/-IObit-智能碎片整理破解
-
Faharnaqvi/VueScan-破解
-
javisolis123/语音模组
-
lolusuary/AOMEI-Backupper
-
lolusuary/守护进程工具
-
lolusuary/EaseUS-Partition-Master
-
lolusuary/安抚-2
-
mostofakamaljoy/ccleaner
-
rik0v/ManyCam
-
Roccinhu/Tenorshare-Reiboot
-
罗辛胡/Tenorshare-iCareFone
-
True-Oblivion/AOMEI-分区助手
-
Vaibhavshiledar/Droidkit
-
vaibhavshiledar/TOON-BOOM-HARMONY
RAR 存档要求受害者提供存储库的 README.md 文件中提到的密码,其中包含一个安装程序文件,该文件解压缩下一阶段的有效负载,这是一个膨胀到 699 MB 的可执行文件,以使 IDA Pro 等分析工具崩溃。
该文件的实际内容(仅为 3.43 MB)充当加载程序,将 RisePro(1.6 版)注入AppLaunch.exe或RegAsm.exe。
RisePro 在 2022 年底突然成为人们关注的焦点,当时它使用称为 PrivateLoader 的按安装付费 (PPI) 恶意软件下载器服务进行分发。
它用 C++ 编写,旨在从受感染的主机收集敏感信息并将其泄露到两个 Telegram 频道,威胁行为者经常使用这两个频道来提取受害者的数据。有趣的是,Checkmarx 最近的研究表明,可以将消息从攻击者的机器人渗透并转发到另一个 Telegram 帐户。
Splunk详细介绍了Snake Keylogger采用的策略和技术,将其描述为“采用多方面的数据泄露方法”的窃取恶意软件。
“FTP的使用有助于文件的安全传输,而SMTP可以发送包含敏感信息的电子邮件,”Splunk说。“此外,与Telegram的集成提供了一个实时通信平台,允许立即传输被盗数据。”
窃取恶意软件变得越来越流行,通常成为勒索软件和其他高影响数据泄露的主要媒介。根据 Specops 本周发布的一份报告,RedLine、Vidar 和 Raccoon 已成为使用最广泛的窃取者,仅 RedLine 在过去六个月中就盗窃了超过 1.703 亿个密码。
Flashpoint 在 2024 年 1 月指出:“目前信息窃取恶意软件的兴起清楚地提醒人们不断发展的数字威胁。“虽然其使用背后的动机几乎总是植根于经济利益,但窃取者正在不断适应,同时更容易获得和使用。
来源:【https://thehackernews.com/】
原文始发于微信公众号(船山信安):黑客在 GitHub 上使用破解软件传播 RisePro 信息窃取程序
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论