Réseau fantôme des astronomes
Un acteur malveillant identifié sous le nom de Stargazer Goblin a créé un réseau de faux comptes GitHub pour exécuter une opération de distribution en tant que service (DaaS) qui distribue divers types de logiciels malveillants voleurs d'informations, leur rapportant 100 000 $ de bénéfices illégaux au cours de l'année écoulée.
Ce réseau, connu sous le nom de Stargazers Ghost Network, comprend plus de 3 000 comptes sur la plateforme d'hébergement de code basée sur le cloud et couvre des milliers de référentiels utilisés pour partager des liens malveillants et des logiciels malveillants.
Les familles de logiciels malveillants réparties sur ce réseau incluent Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer et RedLine. De plus, les faux comptes se livrent à des activités telles que la mise en vedette, le fork, le visionnage et l'abonnement à ces référentiels malveillants pour créer une apparence de légitimité.
Table des matières
Comptes malveillants se faisant passer pour des utilisateurs normaux
Le réseau serait actif depuis août 2022 sous une forme préliminaire, bien qu'une publicité pour le DaaS n'ait été repérée dans l'obscurité que début juillet 2023. Les acteurs malveillants exploitent désormais un réseau de comptes « fantômes » qui distribuent des logiciels malveillants via liens malveillants sur leurs référentiels et archives cryptées lors de leur publication.
Ce réseau distribue non seulement des logiciels malveillants, mais propose également diverses autres activités qui font apparaître ces comptes « fantômes » comme des utilisateurs normaux, conférant une fausse légitimité à leurs actions et aux référentiels associés.
Différentes catégories de comptes GitHub sont responsables d'aspects distincts du système dans le but de rendre leur infrastructure plus résiliente aux efforts de retrait de GitHub lorsque des charges utiles malveillantes sont signalées sur la plateforme.
Différents types de comptes utilisés par les acteurs de la menace
Le réseau utilise différents types de comptes pour différentes fonctions : certains comptes gèrent des modèles de référentiels de phishing, d'autres fournissent des images pour ces modèles, et certains poussent des logiciels malveillants vers les référentiels dans des archives protégées par mot de passe déguisés en logiciels piratés ou en astuces de jeu.
Si GitHub détecte et interdit le troisième ensemble de comptes, Stargazer Goblin met à jour le référentiel de phishing à partir du premier ensemble avec un nouveau lien vers une version malveillante active, minimisant ainsi les perturbations opérationnelles.
En plus d'aimer les nouvelles versions de plusieurs référentiels et de modifier les liens de téléchargement dans les fichiers README.md, des preuves suggèrent que certains comptes du réseau peuvent avoir été compromis, leurs informations d'identification étant probablement obtenues via un logiciel malveillant voleur.
Les chercheurs constatent généralement que les comptes Repository et Stargazer ne sont souvent pas affectés par les interdictions et les retraits de référentiels, tandis que les comptes Commit et Release sont généralement interdits une fois leurs référentiels malveillants découverts. Il est également courant de voir des Link-Repositories contenant des liens vers des Release-Repositories interdits. Lorsque cela se produit, le compte Commit associé met à jour le lien malveillant vers un nouveau.
Diverses menaces de logiciels malveillants déployées
L'une des campagnes découvertes par les experts implique un lien malveillant menant vers un référentiel GitHub. Ce référentiel dirige les utilisateurs vers un script PHP hébergé sur un site WordPress, qui fournit ensuite un fichier d'application HTML (HTA) pour exécuter Atlantida Stealer via un script PowerShell.
En plus d'Atlantida Stealer, le DaaS distribue également d'autres familles de logiciels malveillants, notamment Lumma Stealer, RedLine Stealer, Rhadamanthys et RisePro. Les experts ont observé que ces comptes GitHub font partie d'un réseau DaaS plus large qui gère des comptes « fantômes » similaires sur d'autres plateformes telles que Discord, Facebook, Instagram, X et YouTube.
Conclusion
Stargazer Goblin a développé une opération de distribution de logiciels malveillants très sophistiquée qui échappe intelligemment à la détection en tirant parti de la réputation de GitHub en tant que site légitime. Cette approche permet d'éviter toute suspicion d'activités malveillantes et de réduire les dommages lorsque GitHub intervient.
En utilisant une variété de comptes et de profils pour différentes tâches, telles que la mise en vedette de référentiels, leur hébergement, la validation de modèles de phishing et l'hébergement de versions malveillantes, le Stargazers Ghost Network peut limiter ses pertes. Lorsque GitHub perturbe leurs opérations, cela n’affecte généralement qu’une partie du réseau, permettant au reste de leur infrastructure de continuer à fonctionner avec un impact minimal.
