Jump to content
  • Em março do ano passado, pesquisadores da Trend Micro descobriram que o malware Winnti utilizava o Github para baixar um arquivo de configuração de seu servidor de Comando & Controle (C&C, ou C2). Mais para o fim do ano, a empresa Sucuri analisou um caso onde um minerador de criptomoeadas foi encontrado na plataforma. Agora é a vez de malware brasileiro entrar na brincadeira. :/

    Disfarçado seu malware de "notafiscal" como muitos outros criadores de malware brasileiros, o usuário w3afkli1001 hospedou um .rar e um .exe num repositório chamado nfiscal. Ironicamente, foi escolhida uma licença livre Apache. :D

    w3afkli1001_1.png.1d67cad8a89b0ae322f84b1f3e7f363d.png

    Usando a ferramenta repoget, que fiz exatamente para casos como esse, baixei todo o conteúdo de todos os repositórios deste usuário (mas só havia um mesmo):

    $ python2.7 repoget.py w3afkli1001
    Creating ./w3afkli1001 directory...
    Cloning repositories...
     w3afkli1001/nfiscal
    Cloning gists repositories...
    
    $ cd w3afkli1001/nfiscal
    $ md5 *
    MD5 (ET78G4B6GTY8H6GFB5XCSRY846HGFB15XRHTYD46HGFB5X1HDY468HDFGB15DHY46HFB51HYD846HDBFG5.PDF.exe) = 778351a3953ed0cc081fef0a5da53358
    MD5 (ET78G4B6GTY8H6GFB5XCSRY846HGFB15XRHTYD46HGFB5X1HDY468HDFGB15DHY46HFB51HYD846HDBFG5.PDF.rar) = b97861be214d9a4643571090ee8740e9
    MD5 (LICENSE) = 86d3f3a95c324c9479bd8986968f4327
    MD5 (Nota_Fiscal.exe) = 679dd0f68e9f25b4c57bd5bc332fb952

    Olhando o log dos commits, percebe-se que o autor utilizou a interface web do Github para fazer uploads dos arquivos. Mais fácil que aprender a usar o git né? xD

    $ git log
    
    commit 5e0d647a5356b861102b8fe4eacbf13d3f9c1eef (HEAD -> master, origin/master, origin/HEAD)
    Author: w3afkli1001 <35973712+w3afkli1001@users.noreply.github.com>
    Date:   Thu Feb 15 14:28:19 2018 -0200
    
        Add files via upload
    
    commit 61792bc7a8591291d2467333a5cecfc6d9505c5e
    Author: w3afkli1001 <35973712+w3afkli1001@users.noreply.github.com>
    Date:   Mon Feb 5 20:14:25 2018 -0200
    
        Add files via upload
    
    commit f03d7491f2c5369d4d6be9353d04faa8564c60dc
    Author: w3afkli1001 <35973712+w3afkli1001@users.noreply.github.com>
    Date:   Mon Feb 5 20:13:00 2018 -0200
    
        Delete ET78G4B6GTY8H6GFB5XCSRY846HGFB15XRHTYD46HGFB5X1HDY468HDFGB15DHY46HFB51HYD846HDBFG5.PDF.exe

    Mas por que afinal, é perigoso hospedar malware em sites como Github, Google Drive, Dropbox, etc? Acontece que muitas soluções de segurança não bloqueiam as requisições para estes sites, pois são conhecidamente sites benignos. A responsabilidade da segurança é deles, mas reconheço que é um desafio.

    Edited by Fernando Mercês


    User Feedback

    Recommended Comments

    g41j1n

    Posted

    Até no github bicho..

    Daqui a pouco vão por no LinkedIN.. kkkk

     

    Pimptech

    Posted

    É uma situação complicada mesmo. Github é uma ferramenta MUITO mão na roda. As possibilidade de coisa que pode ser usado é grande. Acho que deviam começar bloqueando .exe... ou pelo menos não sendo baixado via comando, assim o usuário teria que ir ao site e digitar um captcha, por exemplo. Acho que isso já evitaria um monte de coisa hahaa...

    Enfim, realmente é um desafio grande. Saber programar é uma coisa muito boa, tem gente que usa pro bem e tem os zémané. Fico com dó da galera que não tem esse conhecimento para navegar com segurança. Não que nós estejamos, né hahah. Pq por mais seguro que queremos estar sempre tem um mini-einstein programando pro mal. 

    Vamos ajudando como podemos, né. Abs!

    • Curtir 1
    • Administrators
    Fernando Mercês

    Posted

    Em 2/26/2018 em 21:28, Pimptech disse:

    Acho que deviam começar bloqueando .exe

    Ideal mesmo, mas certamente deve quebrar vários repositórios de usuários que sobem .exe (não que eu concorde - pra mim git é pra código, não binários). ;)

    Sim, é muito importante reportar se encontramos algo.

    Pimptech

    Posted

    5 horas atrás, Fernando Mercês disse:

    Ideal mesmo, mas certamente deve quebrar vários repositórios de usuários que sobem .exe (não que eu concorde - pra mim git é pra código, não binários). ;)

    Sim, é muito importante reportar se encontramos algo.

    É uma situação complicado, mas que com certeza precisa ser revista. Antes que a moda pegue hehe.

    gerardo-junior

    Posted

    Acho essa notícia quase irrelevante, esse tipo de notícia às vezes parecem demonizar alguma coisa pra quem não entende como os serviços funcionam (não do dizendo que é caso) mas usar o github pra isso não é novidade só foi confirmado, já vi script pra criptografar e usar como sync de arquivos até kkk sempre os gafanhotos digitais brasileiros kkkkk, a moda agora é subir o binário pra um cdn desses ou um torrent e baixar com exploit também. O malware pode ta em qualquer lugar... se é no github, em um torrent, em um servidor na onion ou ate mesmo em um simples pastebin a culpa nunca é o serviço....

    gzn

    Posted

    @gerardo-junior também pensei nisso amigo. Com técnicas de esteganografia dá para usar quase qualquer tipo de mídia e em que qualquer lugar para essa finalidade. Até daria para usar comentários de sites como YouTube para controlar as máquinas infectadas... enfim, qualquer lugar em que alguém possa se cadastrar e  expor algum tipo de dado seria um potencial alvo para isso.

    gerardo-junior

    Posted

    @gzn eu vi uma proposta no reddit que o cara enviava com o exploit um codigo pra um irc no freenode e um bot retornava o base64 do malware kkkkk criatividade não falta.



    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...