大规模GitHub恶意软件操作传播BoryptGrab窃贼
大规模GitHub恶意软件操作传播BoryptGrab窃贼作者:James Bentley
来源:Securityaffairs.com
引用:https://securityaffairs.com/189110/malware/massive-github-malware-operation-spreads-boryptgrab-stealer.html
网络安全公司Trend Micro发现,BoryptGrab窃贼通过100多个GitHub仓库传播,窃取浏览器数据、加密钱包、系统信息和用户文件。
Trend Micro揭露了一个通过100多个GitHub仓库分发BoryptGrab信息窃贼的活动。
BoryptGrab被设计用于收集浏览器和加密货币钱包数据、系统详情和常见文件。一些变体还部署了一个名为TunnesshClient的PyInstaller后门,用于创建反向SSH隧道与攻击者通信。
该恶意软件通过ZIP存档分发,伪装成软件工具和游戏作弊码,链接到100多个GitHub仓库。
Trend Micro的报告指出:“通过追踪感染链,我们观察到野外存在多个ZIP存档文件(所有文件命名规范相似),伪装成常见的软件工具(包括游戏作弊工具)。一些ZIP文件名中的“github-io”模式表明,搜索软件工具模式会导致超过一百个公共GitHub仓库提供恶意软件。”
证据表明,攻击者可能来自俄罗斯。
攻击者通过伪装成免费软件工具、游戏作弊码或实用程序的公共GitHub仓库传播恶意软件。
他们用SEO关键词填充README文件,以便搜索引擎将恶意仓库排名在合法结果附近。一个例子模仿Voicemod Pro下载页面,链接到一个看起来像正常项目目录的GitHub托管站点。
该页面包含俄语评论,并通过一系列编码的URL重定向访客,最终到达一个生成包含恶意软件ZIP存档的虚假下载页面。许多仓库重复使用相同的逻辑,有时还会向攻击者发送跟踪数据。
下载的ZIP文件通过多种方法启动感染。在一条路径中,一个可执行文件侧载一个恶意的libcurl.dll,它解密隐藏的启动器有效负载。
启动器下载BoryptGrab信息窃贼,并可能检索其他有效负载,包括Vidar变体、名为TunnesshClient的PyInstaller后门和名为HeaconLoad的Golang下载器。启动器使用如Shrek、Leon或CryptoByte等构建名称请求特定有效负载,并设置计划任务以保持恶意软件运行。
报告中继续指出:“一些启动器有效负载变体包含构建名称(彼此之间略有不同)。启动器有效负载在执行它下载的BoryptGrab窃贼时将构建名称作为“-b”参数传递。”
另一条感染路径使用一个VBS下载器,它将命令隐藏在整数数组中。该脚本解码PowerShell命令,从远程服务器下载启动器,甚至可以添加Microsoft Defender排除项以避免检测。然后,该启动器检索BoryptGrab窃贼和其他工具。
在某些变体中,.NET加载器或嵌入式脚本触发相同的过程,而其他变体直接包含HeaconLoad下载器。HeaconLoad通过注册表条目和计划任务保持持续性,向命令和控制服务器发送系统信息,并在可用时下载附加包。
几个有效负载依赖于混淆技术,如XOR加密字符串、动态API解析和代码注入。基础设施和恶意软件样本中出现的俄语评论和日志消息表明,运营商可能具有俄罗斯背景。
BoryptGrab是一个旨在从受感染系统中收集大量敏感数据的C/C++信息窃贼。恶意软件接受可选的命令行参数,例如–output-path,用于定义存储被盗数据的位置,以及–build-name用于标记收集的信息。如果攻击者不提供构建名称,恶意软件将使用默认值或依赖于硬编码的标识符,如CryptoByte、Shrek、Sonic或Yaropolk,这有助于运营商跟踪感染。
在收集数据之前,BoryptGrab执行反分析检查。
“BoryptGrab通过查询注册表条目并检查与虚拟机相关的文件来检测它是否在虚拟机环境中执行。作为其反分析检查的一部分,BoryptGrab还将正在运行的过程名称与预定义列表进行比较。它还尝试以提升的权限执行。”报告继续。
如果未指定输出路径,BoryptGrab使用当前时间、公共IP地址和国家代码格式化默认输出路径名称。随后,创建一个具有此输出路径名称的目录以存储收集的数据。
它搜索虚拟机的迹象,将正在运行的过程与预定义列表进行扫描,并尝试获得提升的权限。如果未指定输出路径,它使用当前时间、公共IP地址和国家代码创建一个目录以存储被盗数据。
窃贼针对多个浏览器的数据,包括Chrome、Edge、Firefox、Opera、Brave、Vivaldi和Yandex。它使用来自公共GitHub工具的技术来绕过Chrome的应用绑定加密并解密存储的浏览器凭据。恶意软件加载一个加密的内部有效负载,提取保存的密码并记录安装的应用程序。
BoryptGrab还下载一个辅助工具来帮助提取基于Chromium的浏览器数据。除了浏览器数据外,它还从多个桌面加密钱包中窃取信息,如Exodus、Electrum、Ledger Live、Atomic、Binance、Wasabi和Trezor。它捕获屏幕截图,收集系统详情,并包括一个“文件抓取器”模块,从常见目录中收集具有特定扩展名的文件。恶意软件还提取Telegram文件、浏览器密码,在新变体中还包括Discord令牌。
收集数据后,BoryptGrab压缩并将存档上传到攻击者的服务器。一些变体还下载TunnesshClient,这是一个PyInstaller后门,它建立反向SSH隧道,允许攻击者运行命令、移动文件,并将受感染的系统用作代理。
“BoryptGrab活动说明了针对用户通过欺骗性软件下载和伪造GitHub仓库的不断发展威胁生态系统。”报告总结。
关注我:Twitter @securityaffairs、Facebook和Mastodon
Pierluigi Paganini
(SecurityAffairs – 漏洞、恶意软件)
页:
[1]