Les pirates abandonnent les voleurs d’informations RisePro via les référentiels GitHub

Plusieurs référentiels GitHub se faisant passer pour des codes logiciels piratés ont été découverts alors qu’ils tentaient de déposer le voleur d’informations RisePro sur les systèmes victimes.

La campagne propose une nouvelle variante du logiciel malveillant voleur d’informations RisePro, conçue pour bloquer les outils d’analyse de logiciels malveillants tels que IDA et ResourceHacker.

G Data CyberDefense, la société allemande de cybersécurité qui a fait la découverte, a indiqué avoir trouvé au moins 13 de ces référentiels appartenant à une campagne de vol RisePro nommée Gitgub par les acteurs de la menace. Les référentiels sont tous similaires et incluent un fichier README.md promettant un logiciel cracké gratuit.

Installateur gonflé pour l’évasion

Afin de compliquer l’analyse du malware grâce à l’ingénierie inverse, la campagne a utilisé un programme d’installation gonflé à 699 Mo. Le gonflement a été provoqué par des blocs de code répétés dans le programme d’installation d’origine.

« La visualisation de l’échantillon par PortexAnalyzer montre que le ballonnement n’est pas trivial. Alors que de nombreux fichiers volumineux comportent zéro octet ajouté, ce fichier a une entropie élevée et aucune superposition », a écrit G Data dans un rapport sur la campagne. « Sachant que l’archive auto-extractible à partir de laquelle nous avons décompressé l’échantillon avait compressé ce fichier à 70 Mo, nous soupçonnions un schéma répétitif. »

Les données gonflées résidaient dans une ressource de données brutes nommée MICROSOFTVISUALSTUDIODEBUGGERI, qui a été supprimée à l’aide de CFF Explorer pour réduire le fichier à sa taille d’origine de 3,43 Mo.