大规模GitHub恶意软件活动传播BoryptGrab窃取器
大规模GitHub恶意软件活动传播BoryptGrab窃取器作者:James Bentley
来源:Securityaffairs.com
引用:https://securityaffairs.com/189110/malware/massive-github-malware-operation-spreads-boryptgrab-stealer.html
趋势科技发现BoryptGrab窃取器通过100多个GitHub仓库传播,窃取浏览器数据、加密钱包、系统信息和用户文件。
趋势科技揭露了一项通过100多个GitHub仓库分发BoryptGrab信息窃取器的活动。
BoryptGrab旨在收集浏览器和加密货币钱包数据、系统细节和常见文件。一些变体还部署了一个名为TunnesshClient的PyInstaller后门,该后门创建一个反向SSH隧道与攻击者通信。
恶意软件通过ZIP存档的形式分发,伪装成软件工具和游戏作弊工具,链接到100多个GitHub仓库。
趋势科技发布的报告指出:“通过追踪感染链,我们观察到野外存在几个ZIP存档文件(所有文件命名规范相似),它们伪装成常见的软件工具(包括游戏作弊技巧)。由于一些ZIP文件名中的“github-io”模式,搜索软件工具模式会导致超过一百个公共GitHub仓库传播恶意软件。”
证据表明,威胁行为者可能来自俄罗斯。
攻击者通过伪装成免费软件工具、游戏作弊工具或实用工具的公共GitHub仓库传播恶意软件。
他们在README文件中填充SEO关键词,以便搜索引擎将恶意仓库排名接近合法结果。一个例子模仿Voicemod Pro下载页面,链接到一个看起来像正常项目目录的GitHub托管站点。
该页面包含俄语评论,并通过一系列编码的URL将访客重定向到一个假下载页面,该页面生成包含恶意软件的ZIP存档。许多仓库重复使用相同的逻辑,有时还会向攻击者发送跟踪数据。
下载的ZIP文件通过多种方法启动感染。在一条路径中,可执行文件侧载一个恶意libcurl.dll,该dll解密隐藏的启动器有效负载。
启动器下载BoryptGrab信息窃取器,并可能检索其他有效负载,包括Vidar变体、名为TunnesshClient的PyInstaller后门和一个名为HeaconLoad的Golang下载器。启动器使用如Shrek、Leon或CryptoByte等构建名称请求特定的有效负载,并设置计划任务以保持恶意软件运行。
报告继续指出:“一些启动器有效负载变体包含构建名称(彼此之间略有不同)。启动器有效负载在执行下载的BoryptGrab窃取器时,将构建名称作为“-b”参数传递。”
另一条感染路径使用VBS下载器,它将命令隐藏在整数数组中。该脚本解码PowerShell命令,从远程服务器下载启动器,甚至可以添加Microsoft Defender排除项以避免检测。然后,该启动器检索BoryptGrab窃取器和其他工具。
在某些变体中,.NET加载器或嵌入式脚本触发相同的过程,而其他变体直接包含HeaconLoad下载器。HeaconLoad通过注册表条目和计划任务保持持久性,向命令和控制服务器发送系统信息,并在可用时下载其他捆绑包。
几个有效负载依赖于混淆技术,如XOR加密字符串、动态API解析和代码注入。基础设施和恶意软件样本中出现的俄语评论和日志消息表明,操作员可能具有俄罗斯背景。
BoryptGrab是一个C/C++信息窃取器,旨在从受感染的系统中收集大量敏感数据。恶意软件接受可选的命令行参数,如–output-path,用于定义被盗数据将存储的位置,以及–build-name,用于标记收集的信息。如果攻击者没有提供构建名称,恶意软件将使用默认值或依赖于硬编码的标识符,如CryptoByte、Shrek、Sonic或Yaropolk,这些标识符有助于操作员跟踪感染。
在收集数据之前,BoryptGrab执行反分析检查。
报告继续指出:“BoryptGrab通过查询注册表条目和检查与虚拟机相关的文件来检测它是否在虚拟机环境中执行。作为其反分析检查的一部分,BoryptGrab还将运行进程的名称与预定义列表进行比较。它还尝试以提升的权限执行。”
如果未指定输出路径,BoryptGrab将使用当前时间、公共IP地址和国家代码格式化默认输出路径名称。稍后,将创建一个具有该输出路径名称的目录以存储收集的数据。
它寻找虚拟机的迹象,将运行进程与预定义列表进行比较,并尝试获得提升的权限。如果未指定输出路径,它将使用当前时间、公共IP地址和国家代码创建一个目录以存储被盗数据。
窃取器针对来自许多浏览器的数据,包括Chrome、Edge、Firefox、Opera、Brave、Vivaldi和Yandex。它使用来自公共GitHub工具的技术来绕过Chrome的应用程序绑定加密并解密存储的浏览器凭据。恶意软件加载一个加密的内部有效负载,该有效负载提取保存的密码并记录安装的应用程序。
BoryptGrab还下载一个辅助工具以帮助提取基于Chromium的浏览器数据。除了浏览器数据外,它还从多个桌面加密钱包中窃取信息,如Exodus、Electrum、Ledger Live、Atomic、Binance、Wasabi和Trezor。它捕获屏幕截图,收集系统详细信息,并包括一个“文件抓取器”模块,该模块从常见目录中收集具有特定扩展名的文件。恶意软件还提取Telegram文件、浏览器密码,在较新的变体中,还包括Discord令牌。
收集数据后,BoryptGrab将压缩并上传存档到攻击者的服务器。一些变体还下载TunnesshClient,这是一个PyInstaller后门,它建立反向SSH隧道,允许攻击者运行命令、移动文件,并将受感染的系统用作代理。
报告总结道:“BoryptGrab活动展示了针对用户通过欺骗性软件下载和假GitHub仓库的日益发展的威胁生态系统。”
关注我:@securityaffairs、Facebook和Mastodon
Pierluigi Paganini
(SecurityAffairs – 黑客、恶意软件)
页:
[1]