Stargazer Goblin ha creato 3.000 account GitHub per diffondere malware

Stargazer Goblin, gruppo hacker di provenienza sconosciuta, ha creato una “rete fantasma” di account GitHub per diffondere malware composta da oltre 3.000 account falsi. A scoprirlo sono stati i ricercatori di Check Point Research, i quali hanno rilevato che la rete di account distribuiva diversi tipi di malware, compresi Lumma Stealer e Rhadamanthys.

Pixabay

Di solito nel mondo del cybercrimine GitHub viene usato per distribuire codice malevolo tramite repository creati appositamente che rimangono online per poco tempo. Questo tipo di attacchi non vuole portare gli utenti a scaricare ed eseguire payload direttamente dal repository, ma mira piuttosto a far eseguire uno script che scarica ed esegue payload da fonti apparentemente legittime.

Nel caso della rete di Stargazer Goblin, ribattezzata “Stargazers Ghost Network”, il repository malevolo contiene un link che appare come “verificato” dai numerosi account GitHub falsi,  il che lo fa apparire come legittimo.

Come funziona la rete fantasma

Gli account della rete hanno tutti dei “compiti” diversi: tra i principali c’è la gestione dei template per il phishing, la distribuzione dell’immagine per il phishing e la distribuzione dei malware.

Il fatto di utilizzare numerosi account, ognuno dei quali si occupa di attività come lo starring e l’hosting del repository o dei payload malevoli, consente al gruppo di minimizzare le proprie perdite quando GitHub interrompe le attività illecite degli account: la rete rimane online e solo una piccola porzione di essa si ferma.

I malware vengono distribuiti tramite archivi protetti da password, un modo per eludere molti dei controlli di sicurezza della piattaforma. Tra i malware, oltre a quelli già citati, i ricercatori hanno individuato RisePro, Atlantida Stealer e RedLine. In alcuni casi i repository contengono dei link che rimandano a siti esterni dai quali viene scaricato uno script malevolo, responsabile in ultima analisi del download ed esecuzione del malware.

La campagna sembra aver preso di mira utenti che volevano aumentare i propri follower su altre piattaforme.

Pixabay

I malware su GitHub sono solo l’inizio

Secondo i ricercatori, la rete di Stargazer Goblin è attiva da agosto 2022, anche se gli attaccanti hanno cominciato a operare su larga scala da luglio 2023. Il team di Check Point Research stima un guadagno complessivo di circa 100.000 dollari.

3.000 è solo una stima al ribasso degli account creati dal gruppo ,e visto che la campagna continua ad avere successo, è molto probabile che la rete stia continuando a espandersi, compromettendo anche account esistenti di normali utenti GitHub.

I ricercatori sottolineano che gli account creati dal gruppo non operano solo su GitHub per diffondere malware, ma anche su Twitter, YouTube, Discord, Instagram, Facebook e molte altre piattaforme, sempre per legittimare i link usati per scaricare i payload malevoli.

Il timore è che nel prossimo futuro gli account fantasma possano utilizzare l’intelligenza artificiale per generare contenuti diversificati e mirati, non solo testuali ma anche contenenti immagini e video. “È iniziata una nuova era della distribuzione di malware, in cui ci aspettiamo che questo tipo di operazioni si verifichino con maggiore frequenza, rendendo sempre più difficile distinguere i contenuti legittimi dal materiale dannoso” avvertono i ricercatori.