Des pirates utilisent un logiciel piraté sur GitHub pour diffuser RisePro Info Stealer
Les chercheurs en cybersécurité ont découvert un certain nombre de référentiels GitHub proposant des logiciels piratés utilisés pour diffuser un voleur d’informations appelé RisePro.
La campagne, nom de code github, comprend 17 référentiels associés à 11 comptes différents, selon G DATA. Les référentiels en question ont depuis été supprimés par la filiale appartenant à Microsoft.
« Les référentiels se ressemblent, avec un fichier README.md avec la promesse d’un logiciel cracké gratuit », a déclaré la société allemande de cybersécurité.
« Les cercles verts et rouges sont couramment utilisés sur Github pour afficher l’état des builds automatiques. Les acteurs de la menace Gitgub ont ajouté quatre cercles Unicode verts à leur README.md qui prétendent afficher un statut à côté d’une date actuelle et donnent un sentiment de légitimité et de récence. «
La liste des référentiels est la suivante, chacun d’eux pointant vers un lien de téléchargement (« digitalxnetwork[.]com ») contenant un fichier d’archive RAR –
- Andreastanaj/AVAST
- Andreastanaj/Sound-Booster
- aymenkort1990/fabfilter
- BenWebsite/-IObit-Smart-Defrag-Crack
- Faharnaqvi/VueScan-Crack
- javisolis123/Voicemod
- lolusuary/AOMEI-Backupper
- lolusuary/Daemon-Tools
- lolusuary/EaseUS-Partition-Master
- lolusuaire/SOOTHE-2
- mostofakamaljoy/ccleaner
- rik0v/ManyCam
- Roccinhu/Tenorshare-Reiboot
- Roccinhu/Tenorshare-iCareFone
- True-Oblivion/AOMEI-Partition-Assistant
- vaibhavshiledar/droidkit
- vaibhavshiledar/TOON-BOOM-HARMONY
L’archive RAR, qui demande aux victimes de fournir un mot de passe mentionné dans le fichier README.md du référentiel, contient un fichier d’installation qui décompresse la charge utile de l’étape suivante, un fichier exécutable gonflé à 699 Mo dans le but de faire planter des outils d’analyse comme IDA Pro.
Le contenu réel du fichier – qui ne représente que 3,43 Mo – agit comme un chargeur pour injecter RisePro (version 1.6) dans AppLaunch.exe ou RegAsm.exe.
RisePro a fait son apparition fin 2022 lorsqu’il a été distribué à l’aide d’un service de téléchargement de logiciels malveillants à l’installation (PPI) connu sous le nom de PrivateLoader.
Écrit en C++, il est conçu pour collecter des informations sensibles sur les hôtes infectés et les exfiltrer vers deux canaux Telegram, qui sont souvent utilisés par les acteurs malveillants pour extraire les données des victimes. Fait intéressant, des recherches récentes de Checkmarx ont montré qu’il est possible d’infiltrer et de transférer des messages du robot d’un attaquant vers un autre compte Telegram.
Ce développement intervient alors que Splunk détaille les tactiques et techniques adoptées par Snake Keylogger, le décrivant comme un malware voleur qui « utilise une approche multiforme pour l’exfiltration de données ».
« L’utilisation de FTP facilite le transfert sécurisé de fichiers, tandis que SMTP permet l’envoi d’e-mails contenant des informations sensibles », a déclaré Splunk. « De plus, l’intégration avec Telegram offre une plateforme de communication en temps réel, permettant la transmission immédiate des données volées. »
Les logiciels malveillants voleurs sont devenus de plus en plus populaires, devenant souvent le principal vecteur de ransomware et d’autres violations de données à fort impact. Selon un rapport de Specops publié cette semaine, RedLine, Vidar et Raccoon sont devenus les voleurs les plus utilisés, RedLine représentant à lui seul le vol de plus de 170,3 millions de mots de passe au cours des six derniers mois.
« La montée actuelle des logiciels malveillants voleurs d’informations est un rappel brutal des menaces numériques en constante évolution », a noté Flashpoint en janvier 2024. « Bien que les motivations derrière leur utilisation soient presque toujours ancrées dans le gain financier, les voleurs s’adaptent continuellement tout en étant plus accessibles et plus facile à utiliser. »