Operação "Muck and Load": Malware em Falsos Scanners Go DNS no GitHub
Mais de 200 Repositórios GitHub Infectados com 700 Módulos Maliciosos desde Janeiro
A empresa de segurança Socket rastreou um módulo malicioso em 222 repositórios do GitHub, espalhados por 190 contas. Este módulo disseminou malwares como Vidar, RATs e mineradores de XMRig, com cargas criptografadas escondidas em plataformas como Pastebin, Telegram e YouTube.
O Golpe do Scanner DNS: Como Funciona
- A Socket, empresa de segurança da cadeia de suprimentos, identificou um módulo Go que se disfarçava de scanner de DNS e subdomínios.
- Na realidade, agia como um carregador inicial de malware para Windows.
- Rastreado em uma rede de 222 repositórios GitHub, distribuídos em 190 contas.
- Desde 24 de janeiro, o módulo acumulou mais de 1.200 versões, das quais mais de 700 são maliciosas.
- A campanha, denominada “Operation Muck and Load”, foi reportada e o módulo foi bloqueado pela equipe de segurança Go.
Mecanismo de Proliferação
- Go gera pseudo-versões a partir de commits sem tags de versão semânticas.
- A proliferação é atribuída ao fluxo de trabalho GitHub Actions do próprio ator da ameaça.
- Commits cronometrados foram resolvidos como versões, inflando o histórico de lançamentos do utilitário scanner.
A Identidade do Ameaçador
- Workflow idêntico encontrado nos repositórios: email Git definido como
ischhfd83@rambler.ru.
- Nome de usuário visível do commit definido como o proprietário atual do repositório.
- Um arquivo de log reescrito é forçado a ser enviado a cada minuto.
- Isso criou atividade atribuída ao proprietário em contas descartáveis, mantendo uma “impressão digital” reutilizável.
- Mínimo confirmado de 222 repositórios com este padrão.
Ação do Malware
- O arquivo
main.go do módulo executa um comando PowerShell oculto.
- Este comando baixa conteúdo de
muckcoding.com, decodifica-o com certutil e o executa, contornando as políticas de execução.
- O script decodificado é um carregador de várias camadas, utilizando codificação Base64 e decodificação XOR.
- Contém um comentário em turco que significa: “execute diretamente, nenhuma outra etapa é necessária.”
Estratégia de Distribuição de Cargas
- O resolvedor não usa URLs de carga codificadas.
- Ele recupera texto de plataformas públicas, procurando pela string “LastW”.
- Decifra o “blob” seguinte com uma chave codificada para encontrar o local de download real.
- Pontos de entrega primários: Pastebin e Rlim.
- Alternativas: YouTube, Instagram, Telegram, Google Docs e GitCode.
- Permite ao atacante atualizar o conteúdo do resolvedor sem modificar o carregador inicial, dificultando a detecção.
Implantação e Tipos de Malware
- A URL resolvida aponta para um arquivo 7-Zip protegido por senha, hospedado como um ativo de lançamento do GitHub.
- O carregador o extrai para um diretório que simula uma instalação legítima do Microsoft Photos.
- Executa
Microsoft.exe a partir desse caminho, com uma janela oculta.
- Cargas decodificadas incluem RATs (como AsyncRAT, Quasar, Remcos) e infostealers.
Variedade de Ameaças Detectadas
- Pelo menos 14 arquivos de malware únicos confirmados.
- Incluem carregadores e downloaders de Trojan, infostealer Vidar, payloads de dropper e spyware, e criptominadores Monero (XMRig).
- Um arquivo
Loader.exe idêntico em bytes foi encontrado em quatro repositórios distintos.
Temas de Isca Utilizados
- Integrações com MetaMask e Trust Wallet.
- Utilitários de frase semente.
- Automação para Binance e PayPal.
- Bots de Telegram e Discord.
- Cheats para jogos como PUBG, Valorant e Escape from Tarkov.
- Exemplo: Repositório PUBG “nrevv1lad/Pubg-DESYNC-Menu” que se passava por cheat, mas continha um
Loader.exe ligado ao Vidar.
Conexão com Campanhas Anteriores
- A Socket, com alta confiança, liga a “Operation Muck and Load” a um cluster documentado pela Sophos em junho do ano passado.
- Pesquisadores da Sophos rastrearam 141 repositórios GitHub (133 backdoored) ao mesmo endereço de e-mail:
ischhfd83@rambler.ru.
- “Muck” foi identificado como um dos pseudônimos do ator, agora presente nos domínios
muckcoding.com e muckdeveloper.com.
Baseado no artigo de Tom’s Hardware