Stargazers Ghost Network criada por meio de contas falsas do GitHub para espalhar malware

Um sofisticado agente de ameaças conhecido como Stargazer Goblin construiu uma ampla rede de contas falsas do GitHub para facilitar uma operação de distribuição como serviço (DaaS). Este esquema tem sido fundamental na disseminação de vários malwares para roubo de informações, gerando lucros ilícitos no valor de US$ 100.000 no ano passado.

A Rede Fantasma Stargazers

Esta extensa rede, denominada “Stargazers Ghost Network” pelos pesquisadores da Check Point, consiste em mais de 3.000 contas GitHub. Essas contas são utilizadas para distribuir links maliciosos e malware em milhares de repositórios. As famílias de malware disseminadas através desta rede incluem Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer e RedLine.

Estrutura e Estratégia

A Stargazers Ghost Network emprega diversas estratégias para manter suas operações e evitar a detecção:

• Diversidade de contas : Contas diferentes têm funções específicas, como hospedar modelos de phishing, fornecer imagens ou distribuir malware disfarçado de software crackeado ou cheats de jogos.
• Táticas de resiliência : quando o GitHub detecta e proíbe determinadas contas, a rede se adapta rapidamente, atualizando os repositórios com novos links, minimizando a interrupção operacional.
• Mimetismo de legitimidade : as contas se envolvem em atividades como estrelar, bifurcar e observar repositórios para criar uma aparência de legitimidade.

O papel das contas 'fantasma'

Segundo o pesquisador de segurança Antonis Terefos, a rede de contas ‘Ghost’ não apenas distribui malware, mas também se envolve em atividades que fazem essas contas parecerem usuários legítimos. Essa tática ajuda a evitar suspeitas e a manter a longevidade de seus repositórios maliciosos.

Operações e ajustes contínuos

Ativa desde agosto de 2022, a Stargazers Ghost Network foi anunciada pela primeira vez como DaaS em julho de 2023. Uma campanha notável envolveu um link malicioso do GitHub que levava a um script PHP em um site WordPress, que finalmente executou o Atlantida Stealer por meio de um script PowerShell. Outras famílias de malware como Lumma Stealer, RedLine Stealer, Rhadamanthys e RisePro também são propagadas através desta rede.

Expansão multiplataforma

A rede não se limita apenas ao GitHub; opera contas ‘Ghost’ semelhantes em plataformas como Discord, Facebook, Instagram, X e YouTube. Esta presença multiplataforma aumenta a resiliência e o alcance das suas operações maliciosas.

Campanhas recentes de extorsão

Em um desenvolvimento relacionado, atores de ameaças desconhecidos têm como alvo os repositórios GitHub desde fevereiro de 2024. Esses invasores limpam o conteúdo do repositório e exigem resgate via Telegram sob o disfarce de um usuário chamado Gitloker. Este ataque emprega e-mails de phishing para induzir os desenvolvedores a autorizar um aplicativo OAuth malicioso que apaga dados do repositório.

Alerta de Segurança: Vulnerabilidade CFOR

A Truffle Security emitiu um comunicado destacando o potencial de acesso a dados confidenciais de forks excluídos e repositórios privados no GitHub. Conhecida como vulnerabilidade Cross Fork Object Reference (CFOR), esse problema surge quando commits em qualquer repositório em uma rede fork permanecem acessíveis, mesmo que o repositório seja excluído ou tornado privado.

O uso sofisticado do GitHub pela Stargazer Goblin para distribuição de malware mostra a evolução das táticas dos atores de ameaças na exploração de plataformas legítimas. À medida que estas operações se tornam mais complexas, as medidas de segurança devem adaptar-se continuamente para abordar novas vulnerabilidades e proteger contra tais redes maliciosas.