Los investigadores de ciberseguridad han descubierto una sofisticada campaña de distribución de malware que utiliza repositorios de GitHub disfrazados de proyectos de software legítimos.
El malware SmartLoader se ha implementado estratégicamente en múltiples repositorios, capitalizando la confianza de los usuarios en la popular plataforma de intercambio de código para infiltrarse en sistemas de todo el mundo.
La campaña maliciosa se dirige a los usuarios que buscan trucos de juegos, grietas de software y herramientas de automatización al posicionar repositorios fraudulentos en la parte superior de los resultados de búsqueda.
SmartLoader Distribution Site que se muestra en la parte superior de los resultados de búsqueda de Google (fuente – ASEC)
Estos repositorios parecen auténticos, completos con archivos ReadMe diseñados profesionalmente, documentación del proyecto y estructuras de archivos realistas que reflejan proyectos legítimos de código abierto.
Los actores de amenaza detrás de esta operación han demostrado una notable atención al detalle, lo que hace que sus repositorios maliciosos sean prácticamente indistinguibles de proyectos de software genuinos.
Cada repositorio comprometido contiene archivos comprimidos cuidadosamente construidos que alojan la carga útil de SmartLoader. Cuando los usuarios descargan y ejecutan estos archivos, sin saberlo inician un proceso de infección en varias etapas que establece un acceso persistente a sus sistemas.
Analistas de ASEC identificado Este método de distribución generalizado como particularmente preocupante debido a su explotación de la confianza de los desarrolladores y las comunidades de juegos en GitHub como una fuente confiable para herramientas de software.
Mecanismo de infección técnica y implementación de carga útil
El proceso de infección de SmartLoader comienza cuando los usuarios ejecutan el archivo Launcher.cmd, que sirve como el vector de ataque inicial.
Este archivo por lotes malicioso carga un script de lua ofuscado a través de luajit.exe, un intérprete de lua legítimo que ha sido armado con fines maliciosos.
Archivos dentro del archivo comprimido (fuente – ASEC)
El paquete de malware consta de cuatro componentes centrales: java.exe (el cargador Lua legítimo), Launcher.cmd (archivo por lotes malicioso), Lua51.dll (intérprete de tiempo de ejecución de Luajit) y Module.class (script de Lua ofuscado).
Una vez activado, SmartLoader establece la persistencia al copiar archivos esenciales al directorio %AppData %\ Ode3 y registrarse en el programador de tareas de Windows como “SecurityHealthService_ode3”.
El malware captura inmediatamente capturas de pantalla e información del sistema, transmitiendo estos datos a servidores de comando y control a través de comunicaciones codificadas en Base64.
La capacidad más peligrosa del malware radica en su papel de cargador para cargas útiles adicionales.
El análisis reveló que SmartLoader descarga y ejecuta malware secundario, incluido Rhadamanthys InfostEaler, que se dirige a información confidencial de clientes de correo electrónico, aplicaciones FTP y servicios de banca en línea.
El malware realiza la inyección de procesos en procesos legítimos de Windows como OpenWith.exe, Dialer.exe y dllhost.exe para evadir la detección.
La comunicación con los servidores C2 ocurre a través de canales cifrados, con el malware que recibe comandos con formato JSON que contienen parámetros de configuración y listas de tareas.
Esta infraestructura permite a los actores de amenaza actualizar dinámicamente el comportamiento de malware e implementar cargas útiles adicionales en función de las características del sistema infectado.
Esta campaña destaca la importancia crítica de verificar las fuentes de software y examinar la credibilidad del repositorio, el historial de confirmación y la autenticidad del autor antes de descargar cualquier aplicación alojada en GitHub, particularmente aquellas relacionadas con las modificaciones del juego o las grietas de software.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
