Em março do ano passado, pesquisadores da Trend Micro descobriram que o malware Winnti utilizava o Github para baixar um arquivo de configuração de seu servidor de Comando & Controle (C&C, ou C2). Mais para o fim do ano, a empresa Sucuri analisou um caso onde um minerador de criptomoeadas foi encontrado na plataforma. Agora é a vez de malware brasileiro entrar na brincadeira.
Disfarçado seu malware de "notafiscal" como muitos outros criadores de malware brasileiros, o usuário w3afkli1001 hospedou um .rar e um .exe num repositório chamado nfiscal. Ironicamente, foi escolhida uma licença livre Apache.
Usando a ferramenta repoget, que fiz exatamente para casos como esse, baixei todo o conteúdo de todos os repositórios deste usuário (mas só havia um mesmo):
$ python2.7 repoget.py w3afkli1001 Creating ./w3afkli1001 directory... Cloning repositories... w3afkli1001/nfiscal Cloning gists repositories... $ cd w3afkli1001/nfiscal $ md5 * MD5 (ET78G4B6GTY8H6GFB5XCSRY846HGFB15XRHTYD46HGFB5X1HDY468HDFGB15DHY46HFB51HYD846HDBFG5.PDF.exe) = 778351a3953ed0cc081fef0a5da53358 MD5 (ET78G4B6GTY8H6GFB5XCSRY846HGFB15XRHTYD46HGFB5X1HDY468HDFGB15DHY46HFB51HYD846HDBFG5.PDF.rar) = b97861be214d9a4643571090ee8740e9 MD5 (LICENSE) = 86d3f3a95c324c9479bd8986968f4327 MD5 (Nota_Fiscal.exe) = 679dd0f68e9f25b4c57bd5bc332fb952
Olhando o log dos commits, percebe-se que o autor utilizou a interface web do Github para fazer uploads dos arquivos. Mais fácil que aprender a usar o git né?
$ git log commit 5e0d647a5356b861102b8fe4eacbf13d3f9c1eef (HEAD -> master, origin/master, origin/HEAD) Author: w3afkli1001 <35973712+w3afkli1001@users.noreply.github.com> Date: Thu Feb 15 14:28:19 2018 -0200 Add files via upload commit 61792bc7a8591291d2467333a5cecfc6d9505c5e Author: w3afkli1001 <35973712+w3afkli1001@users.noreply.github.com> Date: Mon Feb 5 20:14:25 2018 -0200 Add files via upload commit f03d7491f2c5369d4d6be9353d04faa8564c60dc Author: w3afkli1001 <35973712+w3afkli1001@users.noreply.github.com> Date: Mon Feb 5 20:13:00 2018 -0200 Delete ET78G4B6GTY8H6GFB5XCSRY846HGFB15XRHTYD46HGFB5X1HDY468HDFGB15DHY46HFB51HYD846HDBFG5.PDF.exe
Mas por que afinal, é perigoso hospedar malware em sites como Github, Google Drive, Dropbox, etc? Acontece que muitas soluções de segurança não bloqueiam as requisições para estes sites, pois são conhecidamente sites benignos. A responsabilidade da segurança é deles, mas reconheço que é um desafio.
Edited by Fernando Mercês
Recommended Comments
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.