“gitgub” というマルウェア・キャンペーン:GitHub ユーザーにRisePro インフォ・スティーラーを配布

“Gitgub” Malware Campaign Targets Github Users With Risepro Info-Stealer

2024/03/17 SecurityAffairs — RisePro インフォ・スティーラーを配信するように設計され、クラック済みのソフトウェアをホストする、少なくとも 13 の GitHub リポジトリを、G-Data の研究者たちが発見した。専門家たちが気づいたのは、このキャンペーンの運営者が、”gitgub” という名称を用いていたことだ。悪意の GitHub リポジトリに関する Arstechnica の情報を得て、研究者たちは調査を開始した。彼らは、このキャンペーンに関与しているリポジトリを特定するために、脅威ハンティング・ツールを作成した。その結果として判明したのは、すべてのリポジトリが同じダウンロード・リンクにつながるという、新たに作成されたリポジトリの存在である。


G-Data のレポートには、「私たちが特定したのは、脅威アクターにより “gitgub” と名付けられ、RisePro ステラー・キャンペーンに属する、少なくとも 13 のリポジトリである。これらのリポジトリは似かよっており、クラックしたソフトウェアを無償で提供する旨が、それぞれの README.md ファイルは記載されている。Green と Red のサークルは、自動ビルドのステータスを表示するために、GitHub 上で一般的に使用されているものだ。gitgub の脅威アクターは、README.md に4つの Green の Unicode サークルを追加し、現在の日付と一緒にステータスを表示し、正当性と最新性を装っていた」と記されている。

RisePro info-stealer


以下は、このキャンペーンで使用された GitHub リポジトリのリストだが、すでに GitHub により削除されている:

  • andreastanaj/AVAST
  • andreastanaj/Sound-Booster 
  • aymenkort1990/fabfilter 
  • BenWebsite/-IObit-Smart-Defrag-Crack 
  • Faharnaqvi/VueScan-Crack 
  • javisolis123/Voicemod  
  • lolusuary/AOMEI-Backupper 
  • lolusuary/Daemon-Tools 
  • lolusuary/EaseUS-Partition-Master 
  • lolusuary/SOOTHE-2 
  • mostofakamaljoy/ccleaner 
  • rik0v/ManyCam 
  • Roccinhu/Tenorshare-Reiboot 
  • Roccinhu/Tenorshare-iCareFone 
  • True-Oblivion/AOMEI-Partition-Assistant 
  • vaibhavshiledar/droidkit 
  • vaibhavshiledar/TOON-BOOM-HARMONY  

すべてのリポジトリは、同じダウンロード・リンクを使用している:

hxxps://digitalxnetwork[.]com/INSTALLER%20PA$$WORD%20GIT1HUB1FREE.rar。

研究者たちが気づいたのは、”Installer_Mega_v0.7.4t.msi” という名前のインストーラにアクセスするためには、README.md ファイルで提供されるパスワード “GIT1HUB1FREE” を用いて、何層にもわたるアーカイブを解凍する必要があることだ。

この MSI インストーラーを用いる脅威アクターは、パスワード “LBjWCsXKUz1Gwhg” を用いることで、次のステージの解凍を要求した。結果として生じるファイルの名前は、”Installer-Ultimate_v4.3e.9b.exe” だった。

このバイナリのサイズは 699 MB であり、IDA と ResourceHacker をクラッシュさせるものだった。

ファイルを膨張させるために用いられるコンテンツを分析した研究者たちは、実際のサイズは 3.43 MB である判断した。このファイルは、RisePro インフォ・ステーラー (バージョン 1.6) のローダーとして使用されている。

そして、このローダーを実行すると、”hxxp://176.113.115(dot)227:56385/31522″ への接続が行われ、ペイロードである AppLaunch.exe/RegAsm.exe が注入される。

RisePro について説明すると、遅くとも 2022年以降において活動している C++ インフォ・ステーラーであり、感染させたシステムから機密データを収集するものとなる。このマルウェアは、2つの Telegram チャンネルへ向けて、収集したデータを流出させる。

このレポートの最終的な結論は、「このマルウェアは、さまざまな機密データを収集するものだ。すべてのユニークなパスワードは、”brute.txt”という名前のファイルに保存される。また、”password.txt” というファイルの中では、RisePro のバナーと、公開 Telegram チャンネルへのリンクが発見された」というものだ。

Risepro というインフォ・スティーラーを配布する、きわめて大規模なキャンペーンがが発覚しました。しかも、GitHub リポジトリ汚染を介して、開発者たちをターゲットにするというものです。GitHub に限らず、この種の攻撃は PyPInpm などでも頻発しています。ご用心ください。