Un certo Stargazer Goblin ha creato un Distribution-as-a-Service (DaaS) per distribuire malware, principalmente infostealer, sfruttando oltre 3.000 account falsi di GitHub. Durante una recente campagna, il cybercriminale ha usato i repository per portare le ignare vittime su un sito WordPress compromesso. L’azienda californiana ha chiuso la maggioranza degli account, ma alcuni sono ancora attivi.
Stargazers Ghost Network
Il DaaS, noto come Stargazers Ghost Network, è attivo da agosto 2022. Stargazer Goblin ha creato centinaia di repository usando oltre 3.000 account fake su GiHub. I repository usano nomi dei progetti e tag che indicano specifiche categorie, tra cui gaming, social media e criptovalute. Gli account fasulli sono suddivisi per ruolo. Un gruppo fornisce il template per phishing, un altro fornisce l’immagine di phishing e un terzo fornisce il malware.
Essendo GitHub molto popolare, le ignare vittime non prestano molta attenzione e cliccano sui link presenti nei repository, solitamente pubblicizzati su Google, Telegram o YouTube. In quest’ultimo caso vengono inseriti link ai repository nella descrizione del video. Secondo Check Point, il cybercriminale ha finora guadagnato oltre 100.000 dollari dalla vendita degli account (i prezzi variano in base alle stelle ricevute).
In una recente campagna malware, gli utenti sono invitati a scaricare un archivio ZIP (protetto da password) da un sito WordPress compromesso. Al suo interno è presente un file HTA con VBScript. Se aperto, lo script esegue due script PowerShell in successione, l’ultimo dei quali scarica Atlantida Stealer. Altri infostealer sono RedLine, Lumma Stealer, Rhadamanthys e RisePro. GitHub ha eliminato la maggioranza degli account, ma circa 200 sono ancora attivi.