Një farë Stargazer Goblin krijoi një Distribution-as-a-Service (DaaS) për të shpërndarë malware, kryesisht infostealer, duke shfrytëzuar mbi 3000 llogari të rreme GitHub. Gjatë një fushate të kohëve të fundit, krimineli kibernetik përdori depo për të çuar viktima që nuk dyshojnë në një faqe të komprometuar të WordPress. Kompania kaliforniane ka mbyllur shumicën e llogarive, por disa janë ende aktive.
Stargazers Ghost Network
DaaS, i njohur si Stargazers Ghost Network, ka qenë aktiv që nga gushti 2022. Stargazer Goblin ka krijuar qindra depo duke përdorur mbi 3000 llogari të rreme në GiHub. Depot përdorin emra dhe etiketa projektesh që tregojnë kategori specifike, duke përfshirë lojërat, mediat sociale dhe kriptovalutat. Llogaritë e rreme ndahen sipas rolit. Një grup ofron shabllonin e phishing, një tjetër ofron imazhin e phishing dhe një i tretë ofron malware.
Meqenëse GitHub është shumë popullor, viktimat që nuk dyshojnë nuk i kushtojnë shumë vëmendje dhe klikojnë në lidhjet në depo, zakonisht të reklamuara në Google, Telegram ose YouTube. Në rastin e fundit, lidhjet me magazinat futen në përshkrimin e videos. Sipas Check Point, krimineli kibernetik deri më tani ka fituar mbi 100,000 dollarë nga shitja e llogarive (çmimet ndryshojnë në bazë të yjeve të marra).
Në një fushatë të fundit malware, përdoruesit inkurajohen të shkarkojnë një arkiv ZIP (të mbrojtur me fjalëkalim) nga një sajt i komprometuar i WordPress. Brenda ka një skedar HTA me VBScript. Nëse hapet, skripti ekzekuton dy skripta PowerShell me radhë, i fundit prej të cilëve shkarkon Atlantida Stealer. Të tjerë infostealer janë RedLine, Lumma Stealer, Rhadamanthys dhe RisePro. GitHub ka fshirë shumicën e llogarive, por rreth 200 janë ende aktive.
Discussion about this post