Мошеннический репозиторий GitHub от имени Arctic Wolf распространял похититель данных BoryptGrab

Stealer

Специалисты внутренней службы безопасности Arctic Wolf Internal Security Operations (SecOps) обнаружили поддельную страницу на платформе GitHub, которая имитировала официальный профиль компании-разработчика решений для кибербезопасности. Этот инцидент затронул как существующих клиентов Arctic Wolf, так и обычных пользователей, которые могли перейти по ссылке в поисках легитимного программного обеспечения. Подобные атаки с использованием подставных репозиториев становятся всё более распространёнными, поскольку злоумышленники эксплуатируют доверие к известным брендам.

Описание

Сотрудники SecOps оперативно передали информацию команде Threat Research, которая провела углублённый анализ и выявила сложную цепочку заражения, завершившуюся установкой вредоносного ПО для кражи данных. Arctic Wolf удалось добиться удаления поддельного репозитория, однако дальнейшее расследование показало, что тот же злоумышленник создал почти триста аналогичных страниц, маскирующихся под различные известные организации и популярные программы. В отчёте Arctic Wolf подчёркивается, что пользователям необходимо проявлять крайнюю осторожность при работе с непроверенными ссылками и бесплатными загрузками с GitHub, особенно если они касаются корпоративного программного обеспечения, игр или инструментов для бизнеса.

Подставной репозиторий располагался по адресу "github.com/Arctic-Wolf-Security". Настоящая страница компании находится по адресу "github.com/rtkwlf". Злоумышленники тщательно скопировали внешний вид официального профиля, упомянули реальные услуги и продукты Arctic Wolf, чтобы создать иллюзию подлинности. Сама страница не содержала вредоносного кода, но в ней была размещена ссылка, замаскированная под "Официальную страницу". Переход по этой ссылке приводил к загрузке ZIP-архива, содержащего несколько исполняемых файлов. Среди них находился файл с названием "Arctic-Wolf-3.9.7.exe", который был троянизирован, то есть представлял собой легитимную программу, внутрь которой встроен вредоносный код.

При запуске этого файла загружалась динамическая библиотека "libcurl.dll", также подменённая злоумышленниками. Техника sideloading (загрузка библиотеки из того же каталога, где находится исполняемый файл) позволила запустить зашифрованную полезную нагрузку - вредоносное ПО класса инфостилеров (программы для кражи данных), которое Arctic Wolf идентифицировала как BoryptGrab Stealer. Этот похититель данных способен собирать учётные данные, файлы cookie, историю браузера, информацию о криптовалютных кошельках и другие конфиденциальные сведения, после чего отправлять их на управляющий сервер атакующих.

Команда Threat Research выяснила, что аналогичную тактику злоумышленники применяли для имитации других известных поставщиков средств защиты - Malwarebytes, Bitdefender, 360 Total Security. Всего было обнаружено почти 300 репозиториев, содержащих перенаправляющие ссылки с похожей структурой. Для привлечения жертв использовались SEO-ключевые слова, связанные с бесплатным программным обеспечением и взломанными версиями платного софта. Такой подход позволяет злоумышленникам захватывать не только клиентов конкретных компаний, но и широкую аудиторию, ищущую способы сэкономить на лицензиях.

Arctic Wolf приняла меры для защиты своих клиентов. Компания внесла данные об атаке в систему управления инцидентами и обновила детектирующие правила платформы Aurora Superintelligence Platform, которая анализирует телеметрию и выявляет подозрительную активность. При появлении новых индикаторов компрометации или изменении тактики злоумышленников детекции могут быть доработаны. Тем не менее основная нагрузка по предотвращению подобных инцидентов ложится на конечных пользователей.

Всем организациям и частным лицам рекомендуется с осторожностью относиться к любым загрузкам с GitHub, особенно если страница предлагает бесплатное или взломанное программное обеспечение, бета-версии, триалы или "кряки" платных продуктов. Перед скачиванием необходимо проверять подлинность репозитория: у официальных проектов обычно есть проверенный значок, чёткое соответствие домену разработчика и реальная история коммитов. Ссылки в описании репозитория не должны вести на сторонние файлообменники или архивы, не связанные с проектом напрямую. Запуск любого исполняемого файла из непроверенного источника несёт риск заражения. Признаками поддельной страницы могут служить несоответствие названия репозитория официальному бренду, грамматические ошибки или отсутствие контактной информации.

Этот случай демонстрирует, что иммитация доверенных брендов остаётся эффективным приёмом для распространения вредоносного ПО. Использование широко известных названий - Arctic Wolf, Malwarebytes, Bitdefender - снижает бдительность жертв, а техника sideloading с помощью подменённой библиотеки усложняет обнаружение антивирусными средствами. Компании-разработчики решений для безопасности регулярно сталкиваются с подобными атаками, направленными на их репутацию и клиентов. Arctic Wolf продолжает мониторить угрозу и рекомендует всем пользователям установить строгий контроль над источниками загружаемого программного обеспечения, а также использовать решения для защиты конечных точек, способные блокировать загрузку вредоносных архивов и обнаружение подозрительных DLL.

Индикаторы компрометации

URL

  • https://bentleyvazquezpvey.github.io/.github/Arctic-Wolf
  • https://github.com/antivirus-free-bitdefender
  • https://github.com/Arctic-Wolf-Security
  • https://github.com/malwarebytes-protection

SHA256

  • fd01262bd56510088b9ddfe58ca101abb98575f3c0259b480a31b917aa73bc56

Комментарии: 0