Търсене
Close this search box.

Хакери използват кракнат софтуер в GitHub, за да разпространяват RisePro Info Stealer

Изследователи в областта на киберсигурността са открили редица хранилища в GitHub, предлагащи кракнат софтуер, който се използва за предоставяне на програма за кражба на информация, наречена RisePro.

Кампанията, с кодово име gitgub, включва 17 хранилища, свързани с 11 различни акаунта, според G DATA. Оттогава въпросните хранилища са свалени от дъщерното дружество, собственост на Microsoft.

„Хранилищата изглеждат сходни, като съдържат файл README.md с обещание за безплатен кракнат софтуер“, заяви германската компания за киберсигурност.

„Зелените и червените кръгове обикновено се използват в Github за показване на състоянието на автоматичните компилации. Заплахите в Gitgub са добавили четири зелени Unicode кръга в своя README.md, които се преструват, че показват статуса заедно с текущата дата и осигуряват усещане за легитимност и актуалност.“

Списъкът на хранилищата е следният, като всяко от тях сочи към връзка за изтегляне („digitalxnetwork[.]com“), съдържаща RAR архивен файл –

  • andreastanaj/AVAST
  • andreastanaj/Sound-Booster
  • aymenkort1990/fabfilter
  • BenWebsite/-IObit-Smart-Defrag-Crack
  • Faharnaqvi/VueScan-Crack
  • javisolis123/Voicemod
  • lolusuary/AOMEI-Backupper
  • lolusuary/Daemon-Tools
  • lolusuary/EaseUS-Partition-Master
  • lolusuary/SOOTHE-2
  • mostofakamaljoy/ccleaner
  • rik0v/ManyCam
  • Roccinhu/Tenorshare-Reiboot
  • Roccinhu/Tenorshare-iCareFone
  • True-Oblivion/AOMEI-Partition-Assistant
  • vaibhavshiledar/droidkit
  • vaibhavshiledar/TOON-BOOM-HARMONY

RAR архивът, който изисква от жертвите да предоставят парола, посочена във файла README.md на хранилището, съдържа инсталационен файл, който разопакова полезния товар на следващия етап – изпълним файл, който е раздут до 699 MB с цел разбиване на инструменти за анализ като IDA Pro.

Действителното съдържание на файла – възлизащо на едва 3,43 MB – действа като програма за зареждане, за да инжектира RisePro (версия 1.6) в AppLaunch.exe или RegAsm.exe.

RisePro избухна в светлината на прожекторите в края на 2022 г., когато беше разпространен с помощта на услугата за изтегляне на зловреден софтуер, известна като PrivateLoader, която се заплаща за инсталиране (PPI).

Написан на C++, той е предназначен да събира чувствителна информация от заразените хостове и да я ексфилтрира в два канала на Telegram, които често се използват от  заплахите за извличане на данните на жертвите. Интересно е, че неотдавнашно изследване на Checkmarx показа, че е възможно да се проникне и да се препратят съобщения от бота на нападателя към друг акаунт в Telegram.

Разработката идва в момент, когато Splunk подробно описва тактиките и техниките, възприети от Snake Keylogger, описвайки го като крадлив зловреден софтуер, който „използва многостранен подход за ексфилтриране на данни“.

„Използването на FTP улеснява безопасното прехвърляне на файлове, докато SMTP позволява изпращането на имейли, съдържащи чувствителна информация“, заяви Splunk. „Освен това интеграцията с Telegram предлага платформа за комуникация в реално време, която позволява незабавно предаване на откраднати данни.“

Зловредният софтуер за кражби става все по-популярен, като често се превръща в основен вектор за ransomware и други нарушения на сигурността на данните с голямо въздействие. Според доклад на Specops, публикуван тази седмица, RedLine, Vidar и Raccoon се очертават като най-широко използваните крадци, като само RedLine е отговорен за кражбата на повече от 170,3 милиона пароли през последните шест месеца.

„Сегашният възход на зловредния софтуер за кражба на информация е ярко напомняне за постоянно развиващите се цифрови заплахи“, отбеляза Flashpoint през януари 2024 г. „Въпреки че мотивите за използването му почти винаги се коренят във финансовата изгода, крадците непрекъснато се адаптират, като същевременно са по-достъпни и по-лесни за използване.“

 

Източник: The Hacker News

Подобни публикации

18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
17 април 2024

Последни тенденции при зловредния софтуер

В днешната дигитална ера киберсигурността се превърна в постоянна г...
17 април 2024

FTC налага глоби на стартъпа за психично здраве...

Федералната търговска комисия на САЩ (FTC) разпореди на компанията ...
Бъдете социални
Още по темата
17/04/2024

Пробивът на паролите в Sise...

Експертите се опасяват, че компрометирането на...
16/04/2024

UnitedHealth Group отчете 8...

UnitedHealth Group отчете 872 млн. щатски...
15/04/2024

За проблемите с работната с...

  За проблемите с работната сила...
Последно добавени
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!