Red fantasma de observadores de estrellas
Un actor de amenazas identificado como Stargazer Goblin ha creado una red de cuentas falsas de GitHub para ejecutar una operación de Distribución como Servicio (DaaS) que distribuye varios tipos de malware de robo de información, lo que les generó 100.000 dólares en ganancias ilegales durante el año pasado.
Esta red, conocida como Stargazers Ghost Network, incluye más de 3000 cuentas en la plataforma de alojamiento de código basada en la nube y abarca miles de repositorios utilizados para compartir enlaces maliciosos y malware.
Las familias de malware difundidas a través de esta red incluyen Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer y RedLine. Además, las cuentas falsas participan en actividades como protagonizar, bifurcar, observar y suscribirse a estos repositorios maliciosos para crear una apariencia de legitimidad.
Tabla de contenido
Cuentas maliciosas que se hacen pasar por usuarios normales
Se cree que la red ha estado activa desde agosto de 2022 de alguna forma preliminar, aunque no se vio un anuncio de DaaS en la oscuridad hasta principios de julio de 2023. Los actores de amenazas ahora operan una red de cuentas 'fantasmas' que distribuyen malware a través de enlaces maliciosos en sus repositorios y archivos cifrados como lanzamiento.
Esta red no solo distribuye malware sino que también proporciona otras actividades que hacen que estas cuentas 'fantasmas' parezcan usuarios normales, otorgando una falsa legitimidad a sus acciones y a los repositorios asociados.
Diferentes categorías de cuentas de GitHub son responsables de distintos aspectos del esquema en un intento de hacer que su infraestructura sea más resistente a los esfuerzos de eliminación de GitHub cuando se detectan cargas útiles maliciosas en la plataforma.
Diferentes tipos de cuentas utilizadas por los actores de amenazas
La red emplea varios tipos de cuentas para diferentes funciones: algunas cuentas administran plantillas de repositorio de phishing, otras proporcionan imágenes para estas plantillas y algunas envían malware a los repositorios en archivos protegidos con contraseña disfrazados de software descifrado o trampas de juegos.
Si GitHub detecta y prohíbe el tercer conjunto de cuentas, Stargazer Goblin actualiza el repositorio de phishing del primer conjunto con un nuevo enlace a una versión maliciosa activa, minimizando la interrupción operativa.
Además de dar me gusta a las nuevas versiones de múltiples repositorios y modificar los enlaces de descarga en los archivos README.md, la evidencia sugiere que algunas cuentas en la red pueden haber sido comprometidas, y sus credenciales probablemente se obtuvieron a través de malware ladrón.
Los investigadores suelen descubrir que las cuentas de repositorio y Stargazer a menudo no se ven afectadas por las prohibiciones y eliminaciones de repositorios, mientras que las cuentas de confirmación y liberación suelen quedar prohibidas una vez que se descubren sus repositorios maliciosos. También es común ver repositorios de enlaces que contienen enlaces a repositorios de versiones prohibidos. Cuando esto sucede, la cuenta de confirmación asociada actualiza el enlace malicioso a uno nuevo.
Varias amenazas de malware implementadas
Una de las campañas descubiertas por los expertos implica un enlace malicioso que conduce a un repositorio de GitHub. Este repositorio dirige a los usuarios a un script PHP alojado en un sitio de WordPress, que luego entrega un archivo de aplicación HTML (HTA) para ejecutar Atlantida Stealer a través de un script de PowerShell.
Además de Atlantida Stealer, DaaS también distribuye otras familias de malware, incluidas Lumma Stealer, RedLine Stealer, Rhadamanthys y RisePro. Los expertos han observado que estas cuentas de GitHub son parte de una red DaaS más amplia que opera cuentas 'Ghost' similares en otras plataformas como Discord, Facebook, Instagram, X y YouTube.
Conclusión
Stargazer Goblin ha desarrollado una operación de distribución de malware altamente sofisticada que evade inteligentemente la detección aprovechando la reputación de GitHub como sitio legítimo. Este enfoque ayuda a evitar sospechas de actividades maliciosas y reduce el daño cuando interviene GitHub.
Al utilizar una variedad de cuentas y perfiles para diferentes tareas, como destacar repositorios, alojarlos, enviar plantillas de phishing y alojar lanzamientos maliciosos, Stargazers Ghost Network puede limitar sus pérdidas. Cuando GitHub interrumpe sus operaciones, normalmente afecta solo a una parte de la red, lo que permite que el resto de su infraestructura continúe funcionando con un impacto mínimo.
