En ny och avancerad malwarekampanj sprids via GitHub och kan stjäla lösenord, kreditkort och kryptonycklar från dussintals appar. Säkerhetsforskare vid Cyderes Howler Cell Threat Research Team har identifierat två helt nya skadliga program: Direct-Sys Loader och CGrabber Stealer.

Så fungerar attacken

Kampanjen börjar med en ZIP-fil som laddas upp till GitHub, exempelvis under namn som Eclipsyn.zip. Inuti finns en fil som heter Launcher_x64.exe, signerad av Microsoft. Det är en legitim fil, men angriparna utnyttjar en teknik som kallas DLL sideloading för att lura den att ladda en skadlig DLL-fil vid namn msys-crypto-3.dll.

Eftersom den körbara filen har en giltig Microsoft-signatur kan den passera många säkerhetslösningar utan att flaggas. Det ger angriparna ett försprång redan från start.

Osynlig för säkerhetsverktyg

Direct-Sys Loader är byggd för att undvika upptäckt. Den kontrollerar om 67 olika säkerhetsverktyg körs på systemet och letar efter tecken på virtuella miljöer som VMware, Hyper-V och VirtualBox. Om en sandlåda upptäcks avslutas programmet omedelbart.

Dessutom använder den så kallade direct syscalls för att kommunicera direkt med operativsystemets kärna. Det innebär att den kringgår de säkerhetshookar som antivirusprogram normalt förlitar sig på för att fånga skadlig aktivitet.

CGrabber Stealer: bred datainsamling

När Direct-Sys Loader har säkrat åtkomst aktiveras CGrabber Stealer. Den stjäl data från ett stort antal program och tjänster:

Lösenord, kreditkortsuppgifter och cookies från Chrome, Edge, Brave och Firefox. Privata nycklar från över 150 kryptovaluta-appar. Inloggningsdata från Telegram, Discord och Steam. Konfigurationsfiler från VPN-tjänster som NordVPN och ProtonVPN.

All stulen data krypteras med algoritmen ChaCha20 innan den skickas vidare till angriparnas servrar. Kommunikationen använder specialanpassade HTTP-headers, bland annat X-Auth-Token, för att passera nätverksfilter utan att väcka misstankar.

CIS-kontroll avslöjar ursprunget

En intressant detalj är att skadlig kod kontrollerar om enheten befinner sig i ett CIS-land (Oberoende staters samvälde, dit bland annat Ryssland hör). Om så är fallet stänger den av sig själv. Det är en vanlig taktik bland hotaktörer som vill undvika uppmärksamhet från lokal brottsbekämpning i sina egna regioner.

Så skyddar du dig

GitHub är ett ovärderligt verktyg för utvecklare, men det är också en plattform som angripare aktivt utnyttjar. Här är konkreta åtgärder du bör vidta:

Ladda aldrig ner ZIP-filer från okända eller overifierade GitHub-konton. Kontrollera alltid att ett projekt har en trovärdig historik med commits, issues och bidragsgivare. Var skeptisk mot körbara filer i ZIP-arkiv, även om de verkar signerade. Övervaka systemet efter ovanliga DLL-filer och processer. Blockera laddning av okända DLL-filer via grupprinciper eller säkerhetspolicyer. Håll antivirusprogram och operativsystem uppdaterade.

Att en fil är signerad av Microsoft betyder inte att den är säker i alla sammanhang. DLL sideloading utnyttjar just det förtroendet. Var försiktig, verifiera källor och rapportera misstänkt aktivitet till er IT-avdelning.