Des acteurs de la menace connus sous le nom de « Gobelin astronome » ont créé une distribution de logiciels malveillants en tant que service (DaaS) à partir de plus de 3 000 faux comptes sur GitHub qui diffusent des logiciels malveillants voleurs d’informations.

Le service de distribution de logiciels malveillants s’appelle Stargazers Ghost Network et utilise des référentiels GitHub ainsi que des sites WordPress compromis pour distribuer des archives protégées par mot de passe contenant des logiciels malveillants. Dans la plupart des cas, les logiciels malveillants sont des revendeurs d’informations, tels que RedLine, Lumma Stealer, Rhadamanthys, RisePro et Atlantida Stealer.

Dépôt GitHub poussant une archive protégée par mot de passe contenant des logiciels malveillants

Étant donné que GitHub est un service de confiance bien connu, les gens le traitent avec moins de suspicion et peuvent être plus susceptibles de cliquer sur les liens qu’ils trouvent dans les référentiels du service.

Check Point Research a découvert l’opération, ce qui indique que c’est la première fois qu’un système aussi organisé et à grande échelle est documenté en cours d’exécution sur GitHub.

« Les campagnes menées par le réseau fantôme Stargazers et les logiciels malveillants distribués via ce service sont extrêmement efficaces », explique le rapport de Check Point Research.

« En peu de temps, des milliers de victimes ont installé des logiciels à partir de ce qui semble être un référentiel légitime sans soupçonner aucune intention malveillante. Les modèles de phishing fortement orientés vers les victimes permettent aux acteurs de la menace d’infecter les victimes avec des profils et des comptes en ligne spécifiques, ce qui rend les infections encore plus précieuses. »

Les « fantômes » de GitHub propagent des logiciels malveillants
Le créateur de l’opération DaaS, Stargazer Goblin, fait activement la promotion du service de distribution de logiciels malveillants sur le dark Web depuis juin 2023. Cependant, Check Point dit qu’il existe des preuves qu’il est actif depuis août 2022.

Publicité d’un acteur menaçant sur le dark Web

Stargazer Goblin a mis en place un système dans lequel ils créent des centaines de référentiels en utilisant trois mille faux comptes « fantômes ». Ces comptes démarrent, bifurquent et s’abonnent à des référentiels malveillants pour augmenter leur légitimité apparente et les rendre plus susceptibles d’apparaître sur la section des tendances de GitHub.

Comptes fantômes GitHub participant au programme

Les référentiels utilisent des noms de projets et des balises qui ciblent des intérêts spécifiques tels que la crypto-monnaie, les jeux et les médias sociaux.

Modèles de phishing ciblant différents utilisateurs de plateformes de médias sociaux

Les comptes « fantômes » se voient attribuer des rôles distincts. Un groupe sert le modèle de phishing, un autre fournit l’image de phishing et un troisième sert le malware, ce qui confère au schéma un certain niveau de résilience opérationnelle.

« Le troisième compte, qui sert le malware, est plus susceptible d’être détecté. Lorsque cela se produit, GitHub interdit l’intégralité du compte, du référentiel et des versions associées », explique le chercheur Antonis Terefos.

« En réponse à de telles actions, Stargazer Goblin met à jour le référentiel de phishing du premier compte avec un nouveau lien vers une nouvelle version malveillante active. Cela permet au réseau de continuer à fonctionner avec un minimum de pertes lorsqu’un compte servant des logiciels malveillants est banni. »

Aperçu des rôles des astronomes

CheckPoint a observé le cas d’une vidéo YouTube avec un didacticiel logiciel renvoyant au même agent que dans l’un des référentiels GitHub « Stargazers Ghost Network ».

Les chercheurs notent qu’il pourrait s’agir de l’un des multiples exemples potentiels de canaux utilisés pour canaliser le trafic vers des référentiels de phishing ou des sites de distribution de logiciels malveillants.

En termes de taille de l’opération et de génération de bénéfices, CheckPoint estime que l’auteur de la menace a gagné plus de 100 000 dollars depuis le lancement du service.

En ce qui concerne les logiciels malveillants distribués via les opérations du réseau fantôme Stargazers, Check Point indique qu’ils incluent RedLine, Lumma Stealer, Rhadamanthys, RisePro et Atlantida Stealer, entre autres.

Dans un exemple de chaîne d’attaques présenté dans le rapport de Check Point, le référentiel GitHub redirige les visiteurs vers un site WordPress compromis, à partir duquel ils téléchargent une archive ZIP contenant un fichier HTA avec VBScript.

Chaîne d’attaque du voleur Atlantida

Le VBScript déclenche l’exécution de deux scripts PowerShell successifs qui conduisent finalement au déploiement du voleur Atlantida.

Bien que GitHub ait pris des mesures contre de nombreux référentiels malveillants et essentiellement faux, en supprimant plus de 1 500 depuis mai 2024, Check Point indique que plus de 200 sont actuellement actifs et continuent de distribuer des logiciels malveillants.

Dépôts Stargazer ajoutés quotidiennement sur GitHub

Il est conseillé aux utilisateurs arrivant sur les référentiels GitHub via des publicités malveillantes, des résultats de recherche Google, des vidéos YouTube, Telegram ou des réseaux sociaux d’être très prudents avec les téléchargements de fichiers et les URL sur lesquelles ils cliquent.

Cela est particulièrement vrai pour les archives protégées par mot de passe, qui ne peuvent pas être analysées par un logiciel antivirus. Pour ces types de fichiers, il est suggéré de les extraire sur une machine virtuelle et d’analyser le contenu extrait avec un logiciel antivirus pour rechercher les logiciels malveillants.

Si une machine virtuelle n’est pas disponible, vous pouvez également utiliser VirusTotal, qui vous demandera le mot de passe d’une archive protégée afin qu’il puisse analyser son contenu. Cependant, VirusTotal ne peut analyser une archive protégée que si elle contient un seul fichier.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *