分你所享、信息共享、轻松分享
来自民间的思想 | 送人玫瑰,手有余香。

黑客利用GitHub将恶意软件推送至用户电脑以盗取凭据

几个月前,我们曾发布了有关网络罪犯如何使用GitHub在被黑网站上加载各种加密货币矿工的报告文章。不幸的是即便如此,我们依然没能阻止网络罪犯们的脚步。如今,我们又发现了使用相同手法的网络犯罪活动。其主要目的是利用GitHub,将二进制信息窃取恶意软件悄无声息的推送至Windows用户的电脑上。

受感染的Magento网站

最近,识别了数百个受感染的Magento站点均被注入了以下的脚本: <script type="text/javascript" src="https://bit.wo[.]tc/js/lib/js.js"></script> 该脚本(js.js)中的内容如下: content-of-jsjs-768x189.png 此代码会创建隐藏的div,并在短暂延迟后在正常网站内容上方显示假的Flash Player更新banneradobe-flash-update.png 这个攻击与之前攻击的区别主要在于下载URL,它指向了GitHub上的一个恶意文件: https://github[.]com/flashplayer31/flash/raw/master/flashplayer28pp_xa_install.exe 3月13日,我们将该文件上传至VirusTotal进行检测,结果有一半以上的杀毒软件都认为该文件为木马病毒。当我们将它发送给Malwarebytes的Jerome Segura时,他认为该文件是LokiBot信息窃取恶意软件的变体。

检查GitHub存储库

在包含恶意文件的GitHub存储库中,可以找到对较差检测率的答案: https://github.com/flashplayer31/flash 帐户(flashplayer31)和存储库(flash)都是在2018年3月8日被创建的,也就是说在我们检测到恶意内容之前还不到一周。 flashplayer31-768x120.png GitHub存储库只包含两个文件: flashplayer28pp_xa_install.exe(在以上部分已做介绍)和flashplayer28pp_xa_install.iso – 包含ISO映像的特洛伊木马,其中包含恶意/FLASHPLA.EXE。 如果你检查存储库中的提交历史记录,你会发现这两个二进制文件每天至少会被更新一次。 攻击者之所以要频繁的重新打包二进制文件,是为了尽可能的躲避杀毒软件的查杀,然后将更改推送到Git,这就是为什么我们在VirusTotal上主要看到通用和启发式警告的原因。更新后的文件可以立即从GitHub上的主分支下载。 整个过程可以完全自动化的完成,并且可以在没有任何人为干预的情况下工作。

将GitHub作为恶意软件的托管环境

GitHub对于攻击者而言作为托管环境有以下几点优势: