Ha surgido una sofisticada campaña malvertida, explotando repositorios de GitHub a través de compromisos colgantes para distribuir malware a través de clientes falsos de escritorio GitHub.
Este novedoso vector de ataque representa una evolución significativa en las tácticas cibercriminales, aprovechando la confianza y la legitimidad asociada con la plataforma de GitHub para engañar a los usuarios desprevenidos para que descarguen software malicioso.
La campaña opera promoviendo repositorios de GitHub comprometidos que contienen compromisos colgantes que sirven como mecanismos de entrega para las cargas útiles de malware.
Cuando los usuarios buscan el escritorio GitHub a través de anuncios comprometidos, se redirigen a repositorios maliciosos que parecen legítimos pero contienen malware oculto integrado dentro de la estructura del repositorio.
El ataque aprovecha la familiaridad de los usuarios con la interfaz de GitHub y su confianza en la seguridad de la plataforma.
Tras una infección exitosa, el malware establece la persistencia en los sistemas de víctimas mientras mantiene canales de comunicación encubierta con servidores de comando y control.
Cadena de ataque (fuente – x)
Unidad 42 Investigadores identificado Esta campaña a través del análisis de comportamiento de actividades sospechosas de repositorio de GitHub y patrones de descarga anómalos asociados con instaladores de escritorio de GitHub falsos.
Mecanismo de infección avanzado y ejecución de la carga útil
El malware emplea un sofisticado proceso de infección de varias etapas que comienza cuando los usuarios descargan lo que parece ser un instalador de escritorio GitHub legítimo.
La carga útil inicial realiza un descubrimiento integral del sistema, recopilando información detallada sobre la máquina infectada, incluidos los detalles del sistema operativo, el software instalado y las configuraciones de red.
Estos datos de reconocimiento se exfiltran inmediatamente a los servidores controlados por los atacantes antes de continuar a la próxima etapa de infección.
La campaña demuestra una sofisticación particular en el uso de la implementación de la carga útil condicional basada en las características del sistema.
Las cargas útiles basadas en PowerShell descargan Troyan de acceso remoto de NetSupport desde la infraestructura de comando y control, mientras que las variantes ejecutables implementan intérpretes automáticos con extensiones de archivos COM para evadir la detección.
El malware establece mecanismos de persistencia basados en el registro y utiliza utilidades de sistema legítimos como MSBuild.exe y Regasm.exe para la exfiltración de datos, combinando efectivamente actividades maliciosas con operaciones normales del sistema.
Las técnicas de evasión de detección incluyen habilitar las capacidades de depuración remota del navegador, establecer rutas de exclusión del defensor de Windows y aprovechar procesos de sistema confiable para la ejecución de la carga útil, lo que hace que las soluciones de seguridad tradicionales sean menos efectivas contra esta amenaza sofisticada.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
