Ir para conteúdo
  • Cadastre-se
  • Ciber criminosos brasileiros descobrem o Github


    Fernando Mercês

    Em março do ano passado, pesquisadores da Trend Micro descobriram que o malware Winnti utilizava o Github para baixar um arquivo de configuração de seu servidor de Comando & Controle (C&C, ou C2). Mais para o fim do ano, a empresa Sucuri analisou um caso onde um minerador de criptomoeadas foi encontrado na plataforma. Agora é a vez de malware brasileiro entrar na brincadeira. :/

    Disfarçado seu malware de "notafiscal" como muitos outros criadores de malware brasileiros, o usuário w3afkli1001 hospedou um .rar e um .exe num repositório chamado nfiscal. Ironicamente, foi escolhida uma licença livre Apache. :D

    w3afkli1001_1.png.1d67cad8a89b0ae322f84b1f3e7f363d.png

    Usando a ferramenta repoget, que fiz exatamente para casos como esse, baixei todo o conteúdo de todos os repositórios deste usuário (mas só havia um mesmo):

    $ python2.7 repoget.py w3afkli1001
    Creating ./w3afkli1001 directory...
    Cloning repositories...
     w3afkli1001/nfiscal
    Cloning gists repositories...
    
    $ cd w3afkli1001/nfiscal
    $ md5 *
    MD5 (ET78G4B6GTY8H6GFB5XCSRY846HGFB15XRHTYD46HGFB5X1HDY468HDFGB15DHY46HFB51HYD846HDBFG5.PDF.exe) = 778351a3953ed0cc081fef0a5da53358
    MD5 (ET78G4B6GTY8H6GFB5XCSRY846HGFB15XRHTYD46HGFB5X1HDY468HDFGB15DHY46HFB51HYD846HDBFG5.PDF.rar) = b97861be214d9a4643571090ee8740e9
    MD5 (LICENSE) = 86d3f3a95c324c9479bd8986968f4327
    MD5 (Nota_Fiscal.exe) = 679dd0f68e9f25b4c57bd5bc332fb952

    Olhando o log dos commits, percebe-se que o autor utilizou a interface web do Github para fazer uploads dos arquivos. Mais fácil que aprender a usar o git né? xD

    $ git log
    
    commit 5e0d647a5356b861102b8fe4eacbf13d3f9c1eef (HEAD -> master, origin/master, origin/HEAD)
    Author: w3afkli1001 <35973712+w3afkli1001@users.noreply.github.com>
    Date:   Thu Feb 15 14:28:19 2018 -0200
    
        Add files via upload
    
    commit 61792bc7a8591291d2467333a5cecfc6d9505c5e
    Author: w3afkli1001 <35973712+w3afkli1001@users.noreply.github.com>
    Date:   Mon Feb 5 20:14:25 2018 -0200
    
        Add files via upload
    
    commit f03d7491f2c5369d4d6be9353d04faa8564c60dc
    Author: w3afkli1001 <35973712+w3afkli1001@users.noreply.github.com>
    Date:   Mon Feb 5 20:13:00 2018 -0200
    
        Delete ET78G4B6GTY8H6GFB5XCSRY846HGFB15XRHTYD46HGFB5X1HDY468HDFGB15DHY46HFB51HYD846HDBFG5.PDF.exe

    Mas por que afinal, é perigoso hospedar malware em sites como Github, Google Drive, Dropbox, etc? Acontece que muitas soluções de segurança não bloqueiam as requisições para estes sites, pois são conhecidamente sites benignos. A responsabilidade da segurança é deles, mas reconheço que é um desafio.

    Editado por Fernando Mercês



    Feedback do Usuário

    Comentários Recomendados

    Até no github bicho..

    Daqui a pouco vão por no LinkedIN.. kkkk

     

    Compartilhar este comentário


    Link para o comentário
    Compartilhar em outros sites

    É uma situação complicada mesmo. Github é uma ferramenta MUITO mão na roda. As possibilidade de coisa que pode ser usado é grande. Acho que deviam começar bloqueando .exe... ou pelo menos não sendo baixado via comando, assim o usuário teria que ir ao site e digitar um captcha, por exemplo. Acho que isso já evitaria um monte de coisa hahaa...

    Enfim, realmente é um desafio grande. Saber programar é uma coisa muito boa, tem gente que usa pro bem e tem os zémané. Fico com dó da galera que não tem esse conhecimento para navegar com segurança. Não que nós estejamos, né hahah. Pq por mais seguro que queremos estar sempre tem um mini-einstein programando pro mal. 

    Vamos ajudando como podemos, né. Abs!

    • Curtir 1

    Compartilhar este comentário


    Link para o comentário
    Compartilhar em outros sites
    Em 2/26/2018 em 21:28, Pimptech disse:

    Acho que deviam começar bloqueando .exe

    Ideal mesmo, mas certamente deve quebrar vários repositórios de usuários que sobem .exe (não que eu concorde - pra mim git é pra código, não binários). ;)

    Sim, é muito importante reportar se encontramos algo.

    Compartilhar este comentário


    Link para o comentário
    Compartilhar em outros sites
    5 horas atrás, Fernando Mercês disse:

    Ideal mesmo, mas certamente deve quebrar vários repositórios de usuários que sobem .exe (não que eu concorde - pra mim git é pra código, não binários). ;)

    Sim, é muito importante reportar se encontramos algo.

    É uma situação complicado, mas que com certeza precisa ser revista. Antes que a moda pegue hehe.

    Compartilhar este comentário


    Link para o comentário
    Compartilhar em outros sites

    Acho essa notícia quase irrelevante, esse tipo de notícia às vezes parecem demonizar alguma coisa pra quem não entende como os serviços funcionam (não do dizendo que é caso) mas usar o github pra isso não é novidade só foi confirmado, já vi script pra criptografar e usar como sync de arquivos até kkk sempre os gafanhotos digitais brasileiros kkkkk, a moda agora é subir o binário pra um cdn desses ou um torrent e baixar com exploit também. O malware pode ta em qualquer lugar... se é no github, em um torrent, em um servidor na onion ou ate mesmo em um simples pastebin a culpa nunca é o serviço....

    Compartilhar este comentário


    Link para o comentário
    Compartilhar em outros sites

    @gerardo-junior também pensei nisso amigo. Com técnicas de esteganografia dá para usar quase qualquer tipo de mídia e em que qualquer lugar para essa finalidade. Até daria para usar comentários de sites como YouTube para controlar as máquinas infectadas... enfim, qualquer lugar em que alguém possa se cadastrar e  expor algum tipo de dado seria um potencial alvo para isso.

    Compartilhar este comentário


    Link para o comentário
    Compartilhar em outros sites

    @gzn eu vi uma proposta no reddit que o cara enviava com o exploit um codigo pra um irc no freenode e um bot retornava o base64 do malware kkkkk criatividade não falta.

    Compartilhar este comentário


    Link para o comentário
    Compartilhar em outros sites


    Crie uma conta ou entre para comentar

    Você precisar ser um membro para fazer um comentário

    Criar uma conta

    Crie uma nova conta em nossa comunidade. É fácil!

    Crie uma nova conta

    Entrar

    Já tem uma conta? Faça o login.

    Entrar Agora

×