Dịch vụ phân phối phần mềm độc hại có tên là Stargazers Ghost Network sử dụng kho lưu trữ GitHub cùng với các trang web WordPress bị xâm nhập để phân phối các kho lưu trữ được bảo vệ bằng mật khẩu có chứa phần mềm độc hại. Trong hầu hết các trường hợp, các phần mềm độc hại như RedLine, Lumma Stealer, Rhadamanthys, RisePro và Atlantida Stealer có mục tiêu chung là đánh cắp thông tin.
Do GitHub là một dịch vụ nổi tiếng, đáng tin cậy nên người dùng ít nghi ngờ hơn và có nhiều khả năng nhấp vào các liên kết được tìm thấy trong kho của dịch vụ hơn.
Check Point Research đã phát hiện ra hoạt động này và cho biết đây là lần đầu tiên một kế hoạch có tổ chức và quy mô lớn như vậy được ghi nhận trên GitHub. Trong Báo cáo của Check Point Research giải thích: “Các chiến dịch do Stargazers Ghost Network thực hiện và phần mềm độc hại được phân phối qua dịch vụ này đều cực kỳ thành công. Trong một khoảng thời gian ngắn, hàng nghìn nạn nhân đã cài đặt phần mềm từ kho lưu trữ hợp pháp mà không nghi ngờ bất kỳ mục đích xấu nào".
Stargazer Goblin đã tích cực quảng bá dịch vụ phân phối phần mềm độc hại trên web đen kể từ tháng 6/2023. Tuy nhiên, Check Point cho biết có bằng chứng cho thấy nó đã hoạt động kể từ tháng 8/2022.
Stargazer Goblin đã thiết lập một hệ thống nơi tạo ra hàng trăm kho lưu trữ bằng cách sử dụng 3.000 tài khoản "ma" giả. Các tài khoản này gắn dấu sao, phân nhánh và đăng ký các kho lưu trữ độc hại để tăng tính hợp pháp rõ ràng và khiến chúng có nhiều khả năng xuất hiện trên phần xu hướng của GitHub. Các kho lưu trữ sử dụng tên và thẻ dự án nhắm mục tiêu đến các sở thích cụ thể như tiền điện tử, trò chơi và mạng xã hội.
Các tài khoản "ma" có các vai trò riêng biệt. Một nhóm phục vụ mẫu lừa đảo, nhóm khác cung cấp hình ảnh lừa đảo và nhóm thứ ba phục vụ phần mềm độc hại, mang lại cho chương trình một mức độ phục hồi hoạt động nhất định.
Nhà nghiên cứu Antonis Terefos giải thích: “Tài khoản thứ ba phục vụ phần mềm độc hại có nhiều khả năng bị phát hiện hơn. Khi điều này xảy ra, GitHub sẽ cấm toàn bộ tài khoản, kho lưu trữ và các bản phát hành liên quan. Để đối phó với những hành động như vậy, Stargazer Goblin cập nhật kho lưu trữ lừa đảo của tài khoản đầu tiên bằng một liên kết mới tới bản phát hành độc hại mới đang hoạt động. Điều này cho phép mạng tiếp tục hoạt động với tổn thất tối thiểu khi tài khoản phân phát phần mềm độc hại bị cấm”.
Các nhà nghiên cứu lưu ý rằng đây có thể là một trong nhiều ví dụ về các kênh được sử dụng để chuyển lưu lượng truy cập đến các kho lưu trữ lừa đảo hoặc các trang phân phối phần mềm độc hại.
Xét về quy mô hoạt động và khả năng tạo ra lợi nhuận của nó, Check Point ước tính rằng tin tặc đã kiếm được hơn 100.000 USD kể từ khi ra mắt dịch vụ. Về phần mềm độc hại được phát tán thông qua hoạt động của Stargazers Ghost Network, Check Point cho biết nó bao gồm RedLine, Lumma Stealer, Rhadamanthys, RisePro và Atlantida Stealer, cùng nhiều loại khác.
Mặc dù, GitHub đã gỡ bỏ hơn 1.500 kho lưu trữ độc hại (về cơ bản là giả mạo) kể từ tháng 5/2024. Tuy nhiên, Check Point cho biết hơn 200 kho lưu trữ hiện đang hoạt động và tiếp tục phân phối phần mềm độc hại. Người dùng truy cập kho GitHub thông qua quảng cáo độc hại, kết quả Tìm kiếm của Google, video YouTube, Telegram hoặc mạng xã hội nên hết sức thận trọng với việc tải xuống tệp và URL họ nhấp vào.
Điều này đặc biệt đúng với các kho lưu trữ được bảo vệ bằng mật khẩu, phần mềm chống vi-rút không thể quét được. Đối với các loại tệp này, người dùng nên giải nén chúng trên máy ảo và quét nội dung được trích xuất bằng phần mềm chống vi-rút để kiểm tra phần mềm độc hại. Nếu không có máy ảo, người dùng cũng có thể sử dụng VirusTotal, phần mềm này sẽ nhắc nhập mật khẩu của kho lưu trữ được bảo vệ để nó có thể quét nội dung của nó. Tuy nhiên, VirusTotal chỉ có thể quét kho lưu trữ được bảo vệ nếu nó chứa một tệp duy nhất.
Nguyễn Loan
16:00 | 30/05/2024
09:00 | 21/05/2024
09:00 | 28/04/2024
14:00 | 11/10/2024
Các nhà nghiên cứu bảo mật đến từ công ty an ninh mạng Forescout (Mỹ) đã phát hiện 14 lỗ hổng bảo mật được đánh giá nghiêm trọng trên bộ định tuyến DrayTek.
21:00 | 29/08/2024
Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.
08:00 | 26/08/2024
Trong vòng 6 tháng đầu năm 2024, các nạn nhân của mã độc tống tiền (ransomware) trên toàn cầu đã phải chi trả một con số khổng lồ lên tới 459,8 triệu USD cho tội phạm mạng, dự báo một kỷ lục đáng sợ mới về thiệt hại do ransomware gây ra trong năm nay. Bất chấp các nỗ lực của cơ quan chức năng, các băng nhóm tội phạm vẫn tiếp tục lộng hành, nhắm vào những mục tiêu lớn hơn, gây ra những cuộc tấn công quy mô với mức tiền chuộc ngày càng tăng chóng mặt.
14:00 | 05/08/2024
Các chuyên gia bảo mật vừa phát hiện chiến dịch độc hại nhằm vào thiết bị Android toàn cầu, sử dụng hàng nghìn bot Telegram để lây nhiễm mã độc đánh cắp mã OTP của người dùng tại 113 quốc gia.
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
09:00 | 08/11/2024