Cibercriminales alojan malware de criptomonedas en GitHub

También puedes leer... Todo sobre Spectre y Meltdown SecOps a examen Los mitos de las Brechas de Seguridad La creación de un SOC Cómo utilizar la Dark Web

GitHub es una conocida plataforma de desarrollo colaborativo para alojar proyectos utilizando el sistema de control de versiones Git. Pues bien, parece que los cibercriminales la están utilizando para cargar malware de minería de criptomonedas. Según investigadores de Avast, los ciberdelincuentes comparten otros proyectos, lo que en Github significa producir una copia del proyecto de otra persona, desarrollar sobre el proyecto o usarlo como punto de partida y, posteriormente, introduce el malware en el proyecto. Los proyectos que se han bifurcado parecen ser elegidos al azar.

Los ciberdelincuentes detrás del malware están ocultando ejecutables maliciosos en la estructura de directorios de los proyectos bifurcados. Las víctimas son engañadas para que descarguen el malware a través de anuncios de phishing que se muestran en sitios online de gaming y contenido para adultos. Además de la minería, el malware también instala una extensión de Chrome maliciosa, para inyectar anuncios falsos y hacer clic en los anuncios en segundo plano, lo que permite que los ciberdelincuentes puedan obtener aún más beneficios.

Los usuarios no necesitan descargar los archivos ejecutables maliciosos directamente desde GitHub, sino que el malware se propaga a través de una campaña publicitaria de phishing. Cuando un usuario visita un sitio que muestra anuncios de phishing y hace clic en un anuncio, descargan los ejecutables. Los anuncios primero conducen a un servidor controlado por un atacante, que luego redirige al repositorio de GitHub que aloja el malware, que es donde se carga el ejecutable malicioso. El malware incorpora un minero de Monero que también está alojado en GitHub.

El malware también instala una extensión de Chrome maliciosa para los navegadores Chrome, que explota una versión anterior de la extensión de AdBlock Chrome, que Chrome carga como si fuera la verdadera. El malware finaliza todos los procesos de Chrome, para engañar a la víctima para que reinicie Chrome y active la nueva extensión. Incluso si el usuario visita la página de extensiones de Chrome, en lugar de ver sus extensiones, ve la página de extensiones, incluida la extensión maliciosa, por una fracción de segundo, antes de que la página redirija a otra página. Esto evita que los usuarios eliminen la extensión maliciosa. Los autores detrás del malware probablemente hablan ruso, o esperan que sus víctimas sean de habla rusa.

Avast señala que el malware aún está activo y alojado en GitHub. GitHub ha eliminado muchos proyectos bifurcados que alojan el malware, pero los ciberdelincuentes están muy decididos y continuamente cargan malware en GitHub una y otra vez. Los investigadores están trabajando junto con GitHub, proporcionándoles nuevos repositorios que contienen el malware, que GitHub está eliminando.