Check Point Research ha scoperto una rete sofisticata di account GitHub, chiamata Stargazers Ghost Network, utilizzata per distribuire malware e link malevoli attraverso repository di phishing. Questa rete, operata dal gruppo di minaccia noto come Stargazer Goblin, funge da “Distribution as a Service” (DaaS), permettendo ai cybercriminali di diffondere link e malware a vittime mirate.
Il Modello Operativo della Stargazers Ghost Network
La Stargazers Ghost Network è un’operazione altamente sofisticata che sfrutta account “fantasma” su GitHub per apparire legittimi. Questi account si impegnano in attività come “starring”, “forking” e iscrizione a repository malevoli per dare una parvenza di autenticità. Il gruppo dietro questa rete, Stargazer Goblin, gestisce e mantiene la rete, distribuendo vari tipi di malware, tra cui Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer e RedLine.
Analisi delle Campagne Malevole
Durante il monitoraggio della rete, Check Point Research ha scoperto più di 3.000 account attivi coinvolti nelle operazioni. La rete utilizza repository GitHub per ospitare link malevoli e archivi protetti da password che contengono il malware. Ad esempio, una campagna a gennaio 2024 ha distribuito Atlantida Stealer, che ruba credenziali utente e portafogli di criptovalute. In meno di quattro giorni, oltre 1.300 vittime sono state infettate.
Struttura della Rete
La rete opera con una chiara divisione dei compiti tra diversi account:
- Account di Repository di Phishing: Ospitano i template di phishing.
- Account di Commit: Aggiornano i link malevoli nei repository.
- Account di Release: Creano e aggiungono archivi malevoli protetti da password nelle release.
- Account Stargazer: Effettuano attività di “starring” per conferire legittimità ai repository.
Evoluzione delle tattiche
In passato, GitHub era utilizzato per distribuire direttamente software malevolo. Ora, la Stargazers Ghost Network utilizza script che scaricano ed eseguono payload malevoli da fonti apparentemente legittime, mantenendo un’apparenza di legittimità. Questa tattica permette di ingannare gli utenti e di evitare rilevamenti.
Effetti e implicazioni
Il gruppo Stargazer Goblin ha guadagnato circa $8.000 in un solo mese (maggio-giugno 2024), ma si stima che i guadagni totali possano raggiungere circa $100.000 durante l’intero periodo operativo. La rete non solo distribuisce malware, ma offre anche un servizio di distribuzione a pagamento per altri attori malevoli, ampliando ulteriormente la sua portata.
La scoperta della Stargazers Ghost Network evidenzia l’evoluzione continua delle tattiche dei cybercriminali e la necessità di una vigilanza costante per proteggere le piattaforme online e gli utenti da minacce sempre più sofisticate.
