Ir para conteúdo

  • Ciber criminosos brasileiros descobrem o GitHub

    Fernando Mercês

    Por Fernando Mercês (editado)

     Compartilhar

    Em março do ano passado, pesquisadores da Trend Micro descobriram que o malware Winnti utilizava o Github para baixar um arquivo de configuração de seu servidor de Comando & Controle (C&C, ou C2). Mais para o fim do ano, a empresa Sucuri analisou um caso onde um minerador de criptomoeadas foi encontrado na plataforma. Agora é a vez de malware brasileiro entrar na brincadeira. :/

    Disfarçado seu malware de "notafiscal" como muitos outros criadores de malware brasileiros, o usuário w3afkli1001 hospedou um .rar e um .exe num repositório chamado nfiscal. Ironicamente, foi escolhida uma licença livre Apache. :D

    w3afkli1001_1.png.1d67cad8a89b0ae322f84b1f3e7f363d.png

    Usando a ferramenta repoget, que fiz exatamente para casos como esse, baixei todo o conteúdo de todos os repositórios deste usuário (mas só havia um mesmo): 

    $ python2.7 repoget.py w3afkli1001
Creating ./w3afkli1001 directory...
Cloning repositories...
 w3afkli1001/nfiscal
Cloning gists repositories...

$ cd w3afkli1001/nfiscal
$ md5 *
MD5 (ET78G4B6GTY8H6GFB5XCSRY846HGFB15XRHTYD46HGFB5X1HDY468HDFGB15DHY46HFB51HYD846HDBFG5.PDF.exe) = 778351a3953ed0cc081fef0a5da53358
MD5 (ET78G4B6GTY8H6GFB5XCSRY846HGFB15XRHTYD46HGFB5X1HDY468HDFGB15DHY46HFB51HYD846HDBFG5.PDF.rar) = b97861be214d9a4643571090ee8740e9
MD5 (LICENSE) = 86d3f3a95c324c9479bd8986968f4327
MD5 (Nota_Fiscal.exe) = 679dd0f68e9f25b4c57bd5bc332fb952

    Olhando o log dos commits, percebe-se que o autor utilizou a interface web do Github para fazer uploads dos arquivos. Mais fácil que aprender a usar o git né? xD

    $ git log

commit 5e0d647a5356b861102b8fe4eacbf13d3f9c1eef (HEAD -> master, origin/master, origin/HEAD)
Author: w3afkli1001 <35973712+w3afkli1001@users.noreply.github.com>
Date:   Thu Feb 15 14:28:19 2018 -0200

    Add files via upload

commit 61792bc7a8591291d2467333a5cecfc6d9505c5e
Author: w3afkli1001 <35973712+w3afkli1001@users.noreply.github.com>
Date:   Mon Feb 5 20:14:25 2018 -0200

    Add files via upload

commit f03d7491f2c5369d4d6be9353d04faa8564c60dc
Author: w3afkli1001 <35973712+w3afkli1001@users.noreply.github.com>
Date:   Mon Feb 5 20:13:00 2018 -0200

    Delete ET78G4B6GTY8H6GFB5XCSRY846HGFB15XRHTYD46HGFB5X1HDY468HDFGB15DHY46HFB51HYD846HDBFG5.PDF.exe

    Mas por que afinal, é perigoso hospedar malware em sites como Github, Google Drive, Dropbox, etc? Acontece que muitas soluções de segurança não bloqueiam as requisições para estes sites, pois são conhecidamente sites benignos. A responsabilidade da segurança é deles, mas reconheço que é um desafio.

    Editado por Fernando Mercês

     Compartilhar
    Ir para lista de notícias

    Feedback do Usuário

    Comentários Recomendados

    Pimptech

    É uma situação complicada mesmo. Github é uma ferramenta MUITO mão na roda. As possibilidade de coisa que pode ser usado é grande. Acho que deviam começar bloqueando .exe... ou pelo menos não sendo baixado via comando, assim o usuário teria que ir ao site e digitar um captcha, por exemplo. Acho que isso já evitaria um monte de coisa hahaa...

    Enfim, realmente é um desafio grande. Saber programar é uma coisa muito boa, tem gente que usa pro bem e tem os zémané. Fico com dó da galera que não tem esse conhecimento para navegar com segurança. Não que nós estejamos, né hahah. Pq por mais seguro que queremos estar sempre tem um mini-einstein programando pro mal. 

    Vamos ajudando como podemos, né. Abs!

    • Curtir 1
    Link para o comentário
    Compartilhar em outros sites
    Fernando Mercês
    Em 2/26/2018 em 21:28, Pimptech disse:

    Acho que deviam começar bloqueando .exe

    Ideal mesmo, mas certamente deve quebrar vários repositórios de usuários que sobem .exe (não que eu concorde - pra mim git é pra código, não binários). ;)

    Sim, é muito importante reportar se encontramos algo.

    Link para o comentário
    Compartilhar em outros sites
    Pimptech
    5 horas atrás, Fernando Mercês disse:

    Ideal mesmo, mas certamente deve quebrar vários repositórios de usuários que sobem .exe (não que eu concorde - pra mim git é pra código, não binários). ;)

    Sim, é muito importante reportar se encontramos algo.

    É uma situação complicado, mas que com certeza precisa ser revista. Antes que a moda pegue hehe.

    Link para o comentário
    Compartilhar em outros sites
    gerardo-junior

    Acho essa notícia quase irrelevante, esse tipo de notícia às vezes parecem demonizar alguma coisa pra quem não entende como os serviços funcionam (não do dizendo que é caso) mas usar o github pra isso não é novidade só foi confirmado, já vi script pra criptografar e usar como sync de arquivos até kkk sempre os gafanhotos digitais brasileiros kkkkk, a moda agora é subir o binário pra um cdn desses ou um torrent e baixar com exploit também. O malware pode ta em qualquer lugar... se é no github, em um torrent, em um servidor na onion ou ate mesmo em um simples pastebin a culpa nunca é o serviço....

    Link para o comentário
    Compartilhar em outros sites
    gzn

    @gerardo-junior também pensei nisso amigo. Com técnicas de esteganografia dá para usar quase qualquer tipo de mídia e em que qualquer lugar para essa finalidade. Até daria para usar comentários de sites como YouTube para controlar as máquinas infectadas... enfim, qualquer lugar em que alguém possa se cadastrar e  expor algum tipo de dado seria um potencial alvo para isso.

    Link para o comentário
    Compartilhar em outros sites


    Participe da conversa

    Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

    Visitante
    Adicionar um comentário...

    ×   Você colou conteúdo com formatação.   Remover formatação

      Apenas 75 emojis são permitidos.

    ×   Seu link foi automaticamente incorporado.   Mostrar como link

    ×   Seu conteúdo anterior foi restaurado.   Limpar o editor

    ×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

    ×

×
×
  • Criar Novo...