Los usuarios de GitHub están bajo ataque una vez más, mientras los investigadores detectan otra creatividad malware campaña en la popular plataforma.
Esta campaña busca distribuir malware Clipper y tiene un enfoque único para aumentar la visibilidad y, al mismo tiempo, disminuir las posibilidades de ser señalado por programas antivirus.
Según investigadores de ciberseguridad de Checkmarx, un actor de amenazas anónimo creó repositorios maliciosos de GitHub, utilizando nombres y temas que son populares y buscados con frecuencia. Luego, automatizaron el mecanismo de actualización, cambiando periódicamente la fecha y otra información sin sentido en el archivo de registro. De esa manera, el repositorio siempre estuvo en la parte superior de los resultados de búsqueda, especialmente en la categoría «actualizado recientemente».
Cortapelos Keysetzu
Los piratas informáticos también utilizaron cuentas falsas para agregar reseñas positivas y calificaciones de cinco estrellas para aumentar aún más la visibilidad y credibilidad del malware. Si bien esta no es una técnica nueva, esta vez los actores de amenazas no se exageraron con excelentes calificaciones y mantuvieron un perfil bajo.
Al mismo tiempo, el malware fue rellenado con muchos ceros, inflando artificialmente su tamaño hasta superar los 32 MB. De esa forma, muchos programas y plataformas antivirus, incluido VirusTotal, no lo escanearon.
El objetivo de la campaña era eliminar el malware Clipper. Los Clippers suelen robar información del portapapeles (copiar y pegar datos) y, a menudo, se utilizan en el robo de criptomonedas. Al enviar dinero, los usuarios de criptomonedas suelen copiar y pegar la dirección de la billetera del destinatario (ya que es una larga cadena de caracteres aleatorios y poco práctico, si no imposible, de memorizar). En este proceso, el malware clipper reemplazará la billetera del destinatario con la de los atacantes, engañando a la víctima para que envíe su dinero a la dirección incorrecta.
A menos que el dinero se transfiera desde un intercambio centralizado, es imposible detener o revertir las transacciones. El dinero se acabó para siempre.
Al analizar el malware, los investigadores dijeron que tiene muchas similitudes con el cortapelos Keyzetsu, que se observó por primera vez a mediados de 2023. Aparentemente, no se activará en una computadora ubicada en Rusia.