Kali ini dikabarkan bahwa ada aktor berbahaya mendistribusikan malware dengan memposting iklan jahat yang mengarahkan pengguna ke situs web yang menawarkan unduhan berbahaya yang disamarkan sebagai templat dokumen. Aktor tersebut menyalahgunakan Yandex.Direct, jaringan periklanan online untuk memposting kampanye periklanan dan ditemukan bahwa aktor berbahaya ini menggunakan GitHub untuk menghosting malware.
Menurut laporan tim peneliti ESET, operasi ini mendistribusikan Buhtrap dan RTM bersama dengan ransomware dan pencuri cryptocurrency. Operasi ini menargetkan departemen akuntansi perusahaan, di mana penyerang memikat target yang mencari dengan kata kunci unduhan templat faktur, contoh kontrak atau formulir kontrak.
Dengan menampilkan spanduk iklan di forum akuntansi yang sah, penyerang mengarahkan calon korban ke situs web berbahaya.
Penyerang mengikat muatan yang berbeda secara bersama-sama dan mereka meng-host semua file berbahaya di dua repositori GitHub yang berbeda.
“Selain itu, para penjahat menempatkan file berbahaya di repositori GitHub mereka hanya untuk jangka waktu terbatas, mungkin hanya sementara ketika kampanye iklan aktif, jika tidak, muatan di GitHub adalah file zip kosong atau file bersih yang dapat dieksekusi.”
Peneliti ESET mengamati operasi yang dimulai pada akhir Oktober 2018 dan ini masih aktif, mereka juga mengamati enam keluarga malware yang berbeda di-host di GitHub.
Mereka telah menandatangani file berbahaya dengan beberapa sertifikat penandatanganan kode untuk menunjukkan kepada pengguna bahwa mereka menginstal produk asli.
Berikut ini adalah daftar malware dan daftar sertifikat yang digunakan:
Komponen Win32/Filecoder.Buhtrap memiliki perilaku ransomware, terutama yang menargetkan sistem manajemen basis data. Begitu malware ini dipicu, ia mengenkripsi semua file.
Win32/ClipBanker berfokus pada clipboard, memeriksa alamat cryptocurrency, jika menemukan alamat cryptocurrency, maka akan diganti dengan alamat yang dimiliki aktor berbahaya.
Win32/RTM adalah trojan perbankan yang bertujuan mengekstraksi detail keuangan dari mesin korban yang terinfeksi. Trojan ditulis dalam bahasa Delphi.
Para peneliti mengamati dua kasus dengan backdoor Buhtrap, dalam kasus pertama backdoor dimuat langsung dalam memori, tidak menggunakan trik side-loading DLL biasa dan yang kedua mereka mengubah kunci RC4 yang digunakan untuk mengenkripsi lalu lintas jaringan ke server C&C.
Lalu Android/Spy.Banker yang dihosting di GitHub memiliki kemampuan yang meliputi perekaman mikrofon, screenshot, mendapatkan posisi GPS, keylogger, mengenkripsi data perangkat lalu meminta tebusan dan mengirim spam.
MSIL/ClipBanker.IH adalah executable Windows yang membajak kemampuan clipboard dan menargetkan berbagai cryptocurrency serta penawaran dagang Steam. Ia menggunakan iplogger.org sebagai saluran eksfiltrasi untuk menangkap kunci pribadi WIF.
