Foi recentemente descoberto um novo malware que utiliza os repertórios do GitHub e o PasteBin para propagação e alojamento do seu código malicioso. Este malware utiliza uma técnica bastante inovadora para evitar a sua deteção e ainda para tentar infetar o máximo de sistemas possíveis.
Apelidado de “Gitpaste-12”, o malware foi inicialmente descoberto pela empresa de segurança Juniper Threat Labs, no dia 15 de Outubro. No entanto, acredita-se que o mesmo já estaria disponível no Github desde pelo menos 9 de Julho de 2020, altura em que o código foi enviado para a plataforma.
O malware, de acordo com o código, tenta obter as senhas armazenadas nos sistemas que infeta, além de tentar também explorar vulnerabilidades conhecidas no mesmo para permitir uma infeção mais resistente.
Uma vez instalado no sistema, o malware realiza o download do seu código malicioso a partir do Github, bem como alguns comandos a partir de cópias do PasteBin, utilizando, portanto, estas plataformas como meio de comando para infetar o sistema.
Antes desta tarefa, no entanto, o malware tenta desativar o máximo de segurança possível do sistema infetado, como desativar a firewall e sistemas de antivírus, de forma a evitar a sua deteção e das atividades que venham a ser realizadas a partir dai.
O código do malware aponta que este encontra-se destinado a explorar vulnerabilidades sobretudo em ambientes empresariais e em servidores, sendo que o alvo serão sistemas da Alibaba Cloud e Tencent.
O código descreve ainda um sistema de propagação que tenta infetar outros sistemas na mesma rede local ou rede de servidores, com o objetivo de causar ainda mais danos. Para tal este tenta explorar novamente todas as vulnerabilidades que está desenhado para testar, e caso encontre algum sistema vulnerável, propaga-se automaticamente para o mesmo.
Para além das atividades maliciosas, o malware possui ainda no seu código um minerador de criptomoedas Monero, que é usado nos sistemas infetados para minerar a criptomoeda e enviar a mesma para as carteiras virtuais dos criminosos.
Tendo em conta que este malware é bastante recente, nem todas as soluções de segurança o conseguem imediatamente identificar – algo que certamente deve vir a ser melhorado nos próximos dias. Também não ajuda o facto que se encontra a usar o GitHub e PasteBin como forma de controlar as ações, ambas as plataformas consideradas muitas vezes como “seguras”, e que nem sempre levantam suspeitas nos administradores dos sistemas.
Nenhum comentário
Seja o primeiro!