详细内容或原文请订阅后点击阅览
大规模 GitHub 恶意软件操作传播 BoryptGrab 窃取程序
趋势科技发现 BoryptGrab 窃取程序通过 100 多个 GitHub 存储库传播,窃取浏览器数据、加密钱包、系统信息和用户文件。趋势科技发现了一项通过 100 多个 GitHub 存储库传播 BoryptGrab 信息窃取程序的活动。 BoryptGrab 旨在收集浏览器和加密货币钱包数据、系统详细信息和常见文件。一些变体还部署 [...]
来源:Security Affairs _恶意软件大规模 GitHub 恶意软件操作传播 BoryptGrab 窃取程序
趋势科技发现 BoryptGrab 窃取程序通过 100 多个 GitHub 存储库传播,窃取浏览器数据、加密钱包、系统信息和用户文件。
趋势科技发现了一项通过 100 多个 GitHub 存储库分发 BoryptGrab 信息窃取程序的活动。
BoryptGrab 旨在收集浏览器和加密货币钱包数据、系统详细信息和常见文件。一些变体还部署了一个名为 TunnesshClient 的 PyInstaller 后门,它创建了一个反向 SSH 隧道来与攻击者进行通信。
该恶意软件通过伪装成软件工具和游戏作弊的 ZIP 档案进行分发,链接到 100 多个 GitHub 存储库。
“通过追踪感染链,我们能够观察到多个 ZIP 存档文件(均具有相似的命名约定),这些文件伪装成常见的软件工具(包括游戏作弊黑客)。”阅读趋势科技发布的报告。 “正如某些 ZIP 文件名中的“github-io”模式所暗示的那样,搜索软件工具模式会导致超过一百个公共 Github 存储库传播恶意软件。”
俄语评论和基础设施等证据表明,威胁行为者可能来自俄罗斯。
攻击者通过冒充免费软件工具、游戏作弊程序或实用程序的公共 GitHub 存储库传播恶意软件。
他们用 SEO 关键字填充自述文件,以便搜索引擎将恶意存储库排名到接近合法结果。一个示例模仿 Voicemod Pro 下载页面,并链接到 GitHub 托管的网站,该网站看起来像普通的项目目录。
该页面包含俄语评论,并通过一系列编码 URL 重定向访问者,直到到达生成包含恶意软件的 ZIP 存档的虚假下载页面。许多存储库重复使用相同的逻辑,有时会向攻击者发送跟踪数据。
在收集数据之前,BoryptGrab 会执行反分析检查。
皮尔路易吉·帕格尼尼
(安全事务 - 黑客攻击、恶意软件)