Uma nova pesquisa da Sophos mostra que um agente de ameaças está criando repositórios de código aberto com backdoors para infectar cibercriminosos iniciantes e trapaceiros de jogos. A campanha, identificada no GitHub, se aproveita de projetos maliciosos que prometem ferramentas de hacking e trapaças, mas que, na verdade, implantam infostealers e malwares de acesso remoto.
Leia também
Engenharia social ganha mais espaço em ataques
Nomenclatura de ameaças une MS e CrowdStrike
A investigação teve início com o Sakura RAT, um malware de código aberto que continha códigos ocultos capazes de comprometer os sistemas de quem tentasse compilar a ferramenta. A análise revelou quatro tipos principais de backdoors: um de pré-compilação (PreBuild), um em Python, outro disfarçado de protetor de tela e um em JavaScript.
A Sophos descobriu mais de cem repositórios associados ao mesmo autor, com sinais repetidos como o e-mail “ischhfd83” e uma quantidade anormal de confirmações em projetos de curta duração. A empresa acredita que o responsável por esses uploads atua há anos, operando o que pode ser um serviço de distribuição como serviço (DaaS).
Essas iniciativas se assemelham a campanhas anteriores, como a do agente Stargazer Goblin, que utilizou milhares de contas no GitHub para espalhar malware. Apesar de a Sophos não conseguir confirmar se o serviço DaaS anunciado em fóruns russos está ligado a esse novo ataque, há indícios de pseudônimos como “Desconhecido” e “Muck”, além de possíveis conexões com domínios e perfis online.
Para a Sophos, os backdoors identificados representam apenas a etapa inicial de uma cadeia complexa de infecção. “É uma ironia que cibercriminosos e trapaceiros estejam sendo enganados por um de seus próprios pares”, conclui a empresa.
