Cibercriminosos estão abusando dos recursos de automação do GitHub e de projetos maliciosos do Visual Studio para promover uma nova variante do malware de sequestro de área de transferência “Keyzetsu”. O uso do malware é para roubar pagamentos em criptomoedas.
Projetos maliciosos do Visual Studio no GitHub enviam malware Keyzetsu
Os invasores criam repositórios GitHub com nomes que têm maior chance de obter uma boa classificação nos resultados de pesquisa e usam vários métodos para aumentar artificialmente sua popularidade e visibilidade na plataforma. Os usuários que baixam arquivos desses repositórios são infectados por malware oculto nos arquivos de projeto do Visual Studio e executados furtivamente durante a construção do projeto.
Ações do GitHub para impulso automatizado
De acordo com um novo relatório da Checkmarx, a campanha de malware usa vários repositórios GitHub com nomes de tópicos e projetos populares. Os invasores utilizaram o GitHub Actions para atualizar automaticamente esses repositórios em uma frequência muito alta, modificando um arquivo de log com uma pequena alteração aleatória. Isso é feito para que os repositórios tenham uma classificação elevada nos resultados de pesquisa classificados por “atualizados mais recentemente”.
Outro processo potencialmente automatizado é a criação de contas falsas no GitHub que adicionam estrelas falsas a esses repositórios para criar uma falsa sensação de popularidade e confiabilidade em torno do projeto. Uma novidade é que todas essas contas foram criadas recentemente.
Escondendo-se em projetos do Visual Studio
A carga útil do malware geralmente fica oculta em eventos de compilação em arquivos de projeto maliciosos do Visual Studio, embora Checkmarx tenha visto algumas variações. Um evento de build do Visual Studio são comandos a serem executados em diferentes estágios do processo de build. Por exemplo, o projeto malicioso abaixo usa o PreBuildEvent para gravar malware no disco e executá-lo antes que o projeto seja compilado.
O script executado durante a construção do projeto consiste em um script em lote e um script PowerShell codificado em base64 que é executado sucessivamente para realizar as seguintes ações:
- Limpar arquivos temporários;
- Recuperar o endereço IP e determine se o local é a Rússia;
- Baixar arquivos criptografados de um URL especificado dependendo do código do país;
- Descriptografar, extrair e executar os arquivos baixados.
A Checkmarx relata que a partir de 3 de abril de 2024, a campanha passou a usar uma carga criptografada /7z contendo um executável de 750 MB chamado ‘feedbackAPI.exe’.
O grande tamanho do arquivo foi obtido adicionando zeros, aumentando-o a ponto de ficar grande demais para ser verificado por ferramentas de segurança como o VirusTotal. Isso inclui o endpoint de upload alternativo do VirusTotal para análise, que pode levar até 650 MB.
Em todos os casos, a carga final é uma variante do malware Keyzetsu clipboard clipper, que substitui o conteúdo da área de transferência do Windows pelos próprios dados do invasor. Esse malware normalmente é usado para trocar endereços de carteiras de criptomoedas copiados pela vítima pelos endereços do próprio invasor. Isso permite que qualquer pagamento seja desviado para carteiras sob o controle dos invasores.