GitHub'da 292 Sahte Depo: Meşru Yazılım Taklidiyle Yayılan BoryptGrab Zararlısı Siber Güvenlik

GitHub'da 292 Sahte Depo: Meşru Yazılım Taklidiyle Yayılan BoryptGrab Zararlısı

GitHub'da 292 sahte depo, meşru yazılım ve güvenlik araçlarını taklit ederek BoryptGrab adlı bilgi hırsızı zararlıyı yayıyor. Arctic Wolf'un raporuna

Bir tehdit aktörü, meşru yazılım ve güvenlik projelerini taklit eden yüzlerce sahte GitHub deposu yayınlayarak infostealer zararlısı dağıtıyor. Arctic Wolf güvenlik şirketi tarafından tespit edilen kampanya, güvenlik ürünleri, kripto para hizmetleri, finansal araçlar, geliştirici yardımcı programları, güvenli e-posta sağlayıcıları, macOS araçları ve oyun yazılımları gibi popüler kategorilerde arama sonuçlarından trafik çekiyor. Toplamda 292 sahte depo oluşturuldu ve her biri, kullanıcıları kötü amaçlı indirme sayfalarına yönlendiren bir README dosyası içeriyor.

Zararlı yazılım, 19 web tarayıcısından parolalar, çerezler, ödeme bilgileri gibi hassas verileri topluyor. Ayrıca 32 farklı kripto para cüzdanı markasından veri çalıyor ve Telegram oturumları, Discord tokenları, Steam oturum tokenları gibi mesajlaşma ve sosyal medya uygulamalarından bilgileri sızdırıyor. Windows Kimlik Bilgisi Yöneticisi içeriği, Masaüstü ve Belgeler klasörlerindeki parola, kurtarma ifadesi, cüzdan, yedek gibi dosyalar, ekran görüntüleri, sistem detayları ve yüklü yazılım listeleri de hedefler arasında.

Arctic Wolf, kampanyayı 26 Haziran'da kendi ürünlerinden birinin taklit edildiğini fark ederek keşfetti. Sahte GitHub depolarındaki README dosyaları, kullanıcıları 'Download Secure Content' gibi güven verici butonlar ve sahte güven rozetleri içeren indirme sayfalarına yönlendiriyor. Araştırmacılar, teslimat sayfasının tüm taklit markalarda aynı şablon HTML/JS kodunu kullandığını belirledi. Sayfanın istemci tarafı betiği, URL yolunu iki bölüme ayırıyor: path[0] olarak yönlendiren depoyu takip eden bir kullanıcı kodu, path[1] olarak ise yönlendiren alan adı (örneğin Arctic-Wolf.github.io). Görünen marka bilgisi, ikinci segmentten tirelerin boşlukla değiştirilmesi ve uygun başlık büyük harflerinin uygulanmasıyla elde ediliyor.

Detaylar ve Etkileri

Araştırmacılara göre, sayfa her dakika adı ve içeriği değişen büyük bir ZIP arşivi sunuyor. Arşivin içinde, trojanize edilmiş bir libcurl.dll dosyası ve meşru, imzalı bir WinGUP güncelleyicisi bulunuyor. WinGUP güncelleyicisi, taklit edilen ürüne göre farklı bir isim alıyor. Kullanıcı çalıştırılabilir dosyayı çalıştırdığında, gup.exe libcurl.dll dosyasını yan yükleyerek (side-loading) gömülü infostealer'ı tamamen bellekte çalıştırıyor. Zararlı, BoryptGrab ailesinin bir varyantı olarak tanımlandı.

Önemli Gelişmeler

BoryptGrab'ın bu varyantı, daha önce belgelenmemiş bir özellik sergiliyor: Chrome'un App-Bound Encryption (Uygulama Sınırlı Şifreleme) mekanizmasını, tarayıcı sürecine doğrudan kod enjekte ederek atlatabiliyor. Çalınan veriler, Rusya merkezli bir komuta ve kontrol (C2) sunucusuna gönderilmeden önce sıkıştırılıyor. Arctic Wolf, zararlının kalıcılık sağlamadığını, bunun yerine tek bir çalıştırmada mümkün olduğunca fazla veri toplamak üzere tasarlandığını belirtiyor. Ayrıca herhangi bir anti-analiz katmanı bulunmuyor ve verilerin geçici olarak depolandığı dizin temizlenmiyor, bu da adli delillerin kalmasına neden oluyor.

Teknik Analiz

Raporun yayınlandığı sırada GitHub, sahte depoların büyük bir kısmını kaldırmıştı, ancak araştırmacılar birkaç düzine GitHub Pages yönlendiricisinin hâlâ aktif olduğunu bildirdi. Kampanyanın belirli bir tehdit aktörüne atfedilemediği, ancak operatörün muhtemelen Rusça konuşan ve finansal motivasyonlu olduğu değerlendiriliyor. Arctic Wolf, kampanyanın başarısının tamamen kullanıcıların ücretsiz premium yazılım indirmelerine güvenmesine bağlı olduğunu vurguluyor ve resmi olmayan GitHub sayfalarıyla etkileşimde dikkatli olunmasını öneriyor. Araştırmacılar, bu aktiviteyi tespit etmek için bir Yara kuralı ve BoryptGrab ile ilişkili göstergeler (IoC'ler) paylaştı.

Kaynak: bleepingcomputer.com

Paylaş: