Los investigadores del equipo de seguridad TALOS de Cisco han descubierto un operador de malware como servicio que utilizó cuentas públicas de GitHub como canal para distribuir una variedad de software malicioso a objetivos. El uso de GitHub le dio al malware como un servicio (MAAS) una plataforma confiable y fácil de usar que está verde en muchas redes empresariales que dependen del repositorio de códigos para el software que desarrollan. Github eliminó las tres cuentas que alojaron las cargas de maliciosas poco después de ser notificadas por Talos. «Además de ser un medio fácil para el alojamiento de archivos, la descarga de archivos de un repositorio de GitHub puede omitir el filtrado web que no está configurado para bloquear el dominio GitHub», escribieron el jueves los investigadores de Talos Chris Neal y Craig Jackson. «Si bien algunas organizaciones pueden bloquear GitHub en su entorno para frenar el uso de herramientas ofensivas de código abierto y otros malware, muchas organizaciones con equipos de desarrollo de software requieren acceso a GitHub de alguna manera. En estos entornos, una descarga de Github maliciosa puede ser difícil diferenciar del tráfico web regular». Emmenhtal, conoce a Amadey, la campaña, que Talos dijo que había estado en curso desde febrero, utilizó un cargador de malware previamente conocido rastreado bajo nombres que incluyen Emmenhtal y Peaklight. Los investigadores de la firma de seguridad Palo Alto Networks y la principal agencia cibernética estatal de Ucrania SSSCIP ya habían documentado el uso de Emmenhtal en una campaña separada que incrustó el cargador en correos electrónicos maliciosos para distribuir malware a entidades ucranianas. Talos encontró la misma variante Emmenhtal en la operación Maas, solo esta vez el cargador se distribuyó a través de GitHub. La campaña que usa Github fue diferente de una dirigida a entidades ucranianas de otra manera clave. Mientras que la carga útil final en la que dirigía a las entidades ucranianas era un trasero malicioso conocido como Smokeloader, el GitHub One instaló Amadey, una plataforma de malware separada conocida. Amadey fue visto por primera vez en 2018 y se usó inicialmente para ensamblar botnets. Talos dijo que la función principal de Amadey es recopilar información del sistema de dispositivos infectados y descargar un conjunto de cargas útiles secundarias que se personalizan a sus características individuales, en función del propósito específico en diferentes campañas.
Deja una respuesta