Los actores de amenazas cibernéticas, gestión del fraude y delitos cibernéticos se benefician de la red de cuentas no auténticas de GitHubPrajeet Nair (@prajeetspeaks) • 29 de julio de 2024 Un actor de amenazas apodado «Stargazer Goblin» utiliza una red de repositorios de GitHub para distribuir malware. (Imagen: Shutterstock) Los piratas informáticos aparentemente obstaculizados por la detección mejorada de malware en la red están recurriendo a repositorios falsos de GitHub para alojar enlaces maliciosos y archivos incrustados con virus. Ver también: Cómo crear su manual de recuperación cibernética Los investigadores de seguridad de Check Point dicen que han identificado una red de más de 3000 cuentas utilizadas para distribuir malware a través de múltiples repositorios que pertenecen a un actor de amenazas que la empresa bautizó como «Stargazer Goblin». El grupo de piratas informáticos probablemente ganó alrededor de $ 100,000 durante su vida útil, estima Check Point. Los investigadores afirmaron que Stargazer Goblin distribuye una gran variedad de malware, entre ellos Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer y RedLine. La red nació en agosto de 2022. Comenzó como un proyecto a menor escala y se expandió gradualmente hasta alcanzar su tamaño actual. El actor de amenazas va un paso más allá de los piratas informáticos que simplemente usan los repositorios de GitHub para alojar código malicioso. Stargazer Goblin utiliza su vasta red para dar a las cuentas una apariencia de aprobación de pares, otorgando a los repositorios estrellas virtuales y agregándose a sí mismos como observadores que crean supuestas bifurcaciones. Cuando se basa en una URL para descargar malware en las máquinas de las víctimas, el actor de amenazas también apunta a otro repositorio malicioso o a un sitio web externo aparentemente legítimo como Discord. «Los métodos tradicionales de distribución de malware a través de correos electrónicos que contienen archivos adjuntos maliciosos están muy monitoreados y el público en general se ha vuelto más consciente de estas tácticas», escribió Check Point para explicar el creciente interés en GitHub como distribuidor de malware. Por supuesto, no todos los piratas informáticos han abandonado el correo electrónico (véase: Las brechas de seguridad en la puerta de enlace del correo electrónico permiten nuevas tácticas de malware). Además de utilizar su red para generar confianza en repositorios maliciosos de forma autorreferencial, Stargazer Goblin utiliza repositorios para mantener su sistema de distribución de malware resistente ante las eliminaciones, según Check Point. Al utilizar un repositorio para alojar un enlace de descarga que apunta a otro repositorio (y repositorios adicionales para alojar otras partes de la operación, como plantillas de phishing), el actor de amenazas puede «arreglar» rápidamente cualquier enlace roto que pueda producirse debido a que se prohíban cuentas o repositorios por actividades maliciosas». Check Point Research también destacó los procesos de mantenimiento y recuperación de la red. Cuando se prohiben cuentas o repositorios, Stargazer Goblin actualiza rápidamente los enlaces y crea nuevas cuentas, lo que garantiza la continuidad de las operaciones. URL de la publicación original: https://www.databreachtoday.com/github-network-fuels-malware-distribution-operation-a-25877