Pesquisadores de segurança encontraram vários repositórios GitHub se passando por códigos de software crackeados tentando disseminar o ladrão de informações RisePro nos sistemas das vítimas. Trata-se, na realidade, de uma nova variante do malware de roubo de informações projetada para travar ferramentas de análise de malware como IDA e ResourceHacker.
A G Data CyberDefense, a empresa alemã de segurança cibernética que fez a descoberta, informou que encontrou ao menos 13 desses repositórios pertencentes a uma campanha do RisePro que foi chamada de Gitgub pelos operadores da ameaça. Os repositórios são todos semelhantes e incluem um arquivo README.md que promete software crackeado gratuito.
Para complicar a análise do malware por meio de engenharia reversa, a campanha utilizou um instalador que estava “inchado” para 699 MB. O inchaço foi feito através da repetição de blocos de código no instalador original.
“A visualização da amostra pelo PortexAnalyzer mostra que o inchaço não é trivial. Embora muitos arquivos inchados apresentem zero bytes anexados, esse arquivo tem alta entropia e nenhuma sobreposição”, escreveu G Data em um relatório sobre a campanha. “Sabendo que o arquivo autoextraível do qual descompactamos a amostra comprimiu esse arquivo para 70 MB, suspeitamos de um padrão repetitivo.”
Segundo a fornecedora, depois que o malware é executado, ele exfiltra dados para dois canais do Telegram. Ambos os canais contêm atualmente mais de 700 mensagens com arquivos zip de dados roubados.
Veja isso
Infostealers roubam 36 milhões de credenciais de IA e jogos
Infostealer Predator AI traz risco grave para serviços de nuvem
A G Data suspeita que a combinação dos nomes dos canais do Telegram e dos endereços IP dos servidores de controle indica uma operação baseada na Rússia. “O malware coleta uma variedade de informações valiosas”, disse a empresa. “Todas as senhas exclusivas são armazenadas em um arquivo chamado “brute.txt”. No arquivo “password.txt” descobrimos um grande banner RisePro e o link para o canal público do Telegram.”
O RisePro tem estado bastante ativo nos últimos meses, tendo recentemente feito engenharia reversa de uma prova de conceito (PoC) em um bug do Google OAuth para obter a infecção primária. A G Data forneceu uma lista de indicadores de comprometimento (IOCs) para potenciais vítimas.
Para acessar o relatório completo da G Data CyberDefense (em inglês) sobre a campanha que utiliza o ladrão de informações RisePro clique aqui.
