Se encontraron varios repositorios de GitHub que se hacían pasar por códigos de software descifrados intentando colocar el ladrón de información RisePro en los sistemas víctimas.
La campaña ofrece una nueva variante del malware de robo de información RisePro diseñado para bloquear herramientas de análisis de malware como IDA y ResourceHacker.
G Data CyberDefense, la empresa alemana de ciberseguridad que hizo el descubrimiento, informó que había encontrado al menos 13 repositorios de este tipo pertenecientes a una campaña de ladrones RisePro que los actores de amenazas llamaron Gitgub. Todos los repositorios son similares e incluyen un archivo README.md que promete software descifrado gratuito.
Instalador inflado para evasión
Para complicar el análisis del malware mediante ingeniería inversa, la campaña utilizó un instalador que ocupaba 699 MB. La hinchazón se realizó mediante bloques repetidos de código dentro del instalador original.
“La visualización de la muestra por PortexAnalizador muestra que la hinchazón no es trivial. Si bien muchos archivos inflados contienen cero bytes añadidos, este archivo tiene una alta entropía y no tiene superposición”, escribió G Data en un informe sobre la campaña. «Al saber que el archivo autoextraíble del que descomprimimos la muestra comprimió este archivo a 70 MB, sospechamos que se trataba de un patrón repetitivo».
Los datos inflados residían en un recurso de datos sin procesar llamado MICROSOFTVISUALSTUDIODEBUGGERI, que se eliminó usando CFF Explorer para reducir el archivo a sus 3,43 MB originales.