Điều tra trò lừa đảo trên GitHub: hàng nghìn "mod" và "crack" đánh cắp dữ liệu của bạn

• Trên GitHub tồn tại rất nhiều repository ngụy trang dưới dạng "mods" hoặc "cracks"; khi người dùng tải xuống thì thực chất đây là trò lừa đảo nhằm đánh cắp thông tin nhạy cảm trong máy tính
• Chúng quảng bá như "tải miễn phí" hoặc "bản crack" bằng cách lợi dụng tên của các chương trình và trò chơi phổ biến như Roblox, Fortnite, FL Studio, Adobe Photoshop
• Khi chạy các tệp độc hại này, malware chuyên thu thập thông tin như Redox Stealer sẽ hoạt động
• Dữ liệu bị đánh cắp sẽ được gửi tới máy chủ Discord hoặc các trang chia sẻ như Anonfiles, từ đó lấy cắp ví tiền mã hóa, tài khoản mạng xã hội và nhiều thứ khác
• Chỉ cần tìm kiếm trên GitHub cũng có thể dễ dàng phát hiện các repository kiểu này, và quy mô thực tế được ước tính tối thiểu hơn một nghìn repo
• Một số trường hợp có issue công khai cảnh báo là "virus" hoặc "malware", nhưng con số này chỉ chiếm khoảng 10%, khiến nhiều người dùng vẫn đang bị phơi bày trước rủi ro

TL;DR

• Quá trình phát hiện
  • Tác giả phát hiện trên một diễn đàn về social engineering một hướng dẫn cụ thể về cách phát tán hàng loạt repository độc hại trên GitHub
  • Dựa vào hướng dẫn đó, tác giả lần theo cả những repository do chính kẻ tấn công tạo ra
• Quy mô
  • Đã tìm thấy hơn 1.115 repository, trong đó riêng số có cấu trúc đáng ngờ và khả năng cao là độc hại cũng đã vượt 351 repo
  • Chưa tới 10% repository bị cảnh báo thông qua issue, còn phần lớn vẫn trông hoàn toàn bình thường
• Đặc điểm mã độc
  • Có vẻ thuộc họ Redox Stealer, dùng Discord webhook để lấy cắp nhiều loại dữ liệu nhạy cảm từ máy nạn nhân như cookie, mật khẩu, ví tiền mã hóa, tài khoản game
  • Dữ liệu được gửi đi dưới dạng tệp nén thông qua các trang chia sẻ như Anonfiles, sau đó webhook chuyển tiếp liên kết để phục vụ việc phân tích và mua bán

Some background

• Quảng bá bằng bot Telegram
  • Tác giả phát hiện nội dung quảng bá diễn đàn từ tin nhắn của một bot phân tích TikTok từng sử dụng trước đây
  • Diễn đàn này không cần lời mời riêng hay truy cập Tor; chỉ cần email và mật khẩu là có thể đăng ký để xem các giao dịch và hướng dẫn bất hợp pháp
• Đặc điểm của diễn đàn
  • Từ mua bán tài khoản như TikTok, Instagram, Facebook Ads đến tài liệu về các chương trình "affiliate" phục vụ lừa đảo đều được chia sẻ khá tự do
  • Ngoài nhiều trò lừa đảo đã nổi tiếng như ransomware as a service (RaaS), CryptoGrab, hướng dẫn phát tán malware qua GitHub là điều mới và gây sốc
• Redox Stealer
  • Đây là malware được phát tán qua Telegram và các kênh khác, dưới dạng một script Python tương đối đơn giản
  • Nó được thiết kế để thu gom hàng loạt mọi thông tin nhạy cảm có thể tìm thấy trên PC rồi gửi về máy chủ Discord

Cách dội [lưu lượng truy cập] vào GitHub từ A đến Z

• Thu gom hàng loạt tài khoản GitHub
  • Kẻ tấn công có thể mua tài khoản với giá khoảng 1,5 USD hoặc tự tạo nhiều tài khoản để phục vụ chiến dịch
• Cách tải lên tệp độc hại
  • Chúng đóng gói dưới dạng .zip, .rar rồi đưa lên GitHub, hoặc đặt liên kết chia sẻ bên ngoài trong README để né quét virus
• Mẫu README
  • README được dựng để tạo độ tin cậy bằng cách đính kèm ảnh chụp màn hình thật, video, thậm chí cả kết quả quét virustotal giả mạo
  • Chúng còn dùng ChatGPT để thay đổi đôi chút nội dung README nhằm tránh bị phát hiện trùng lặp
• Tận dụng thẻ Topics
  • Chúng dùng tính năng GitHub topic để lặp lại nhiều từ khóa như tên game, crack, hack, cheat
  • Mục tiêu là dễ xuất hiện trước những người tìm kiếm các cụm như "free crack" trên công cụ tìm kiếm
  • Hướng dẫn còn chỉ cách kiểm tra và né các topic đã bị cấm

Phân tích Redox Stealer

• Quá trình thực thi tệp
  • Khi người dùng tải repository và chạy script độc hại, quá trình thu thập dữ liệu trong PC sẽ bắt đầu
  • Các mục tiêu bị lấy cắp gồm ip, geolocation, tên người dùng, cookie trình duyệt, mật khẩu, tài khoản Discord, Telegram, Steam, Riot Games và cả tệp ví tiền mã hóa
• Cách thu thập
  • Malware tạm sao chép các tệp cơ sở dữ liệu sqlite để trích xuất cookie trình duyệt, mật khẩu, token Discord
  • Các tệp của tiện ích mở rộng tiền mã hóa như Metamask, Exodus và thông tin tài khoản game như Steam, Riot Games cũng được nén riêng rồi tải lên
• Truyền dữ liệu
  • Các tệp bị đánh cắp được tải lên các dịch vụ chia sẻ như Anonfiles, sau đó liên kết hoặc thông tin sẽ được gửi cho kẻ tấn công qua Discord webhook
  • Mục tiêu cuối cùng là chiếm đoạt các tài khoản có giá trị bán lại như ví tiền mã hóa, vật phẩm game hoặc thông tin tài chính như thẻ tín dụng, PayPal

Tìm kiếm và phát hiện trên GitHub

• Ước tính quy mô
  • Hướng dẫn cho biết chỉ riêng một người, nếu đăng 300-500 repository, cũng có thể tạo ra hơn 50-100 bản ghi nạn nhân mỗi ngày
  • Trên thực tế có khả năng nhiều người đang chạy mô hình này cùng lúc, nên số repository độc hại thực tế còn lớn hơn nhiều
• Script PoC (Proof of Concept)
  • Tác giả kết hợp các từ khóa được gợi ý trong hướng dẫn như "fortnite hack", "roblox cheat" rồi dùng GitHub Search API để tự động crawl repository
  • Khi kiểm tra khoảng 2.100 từ khóa topic, tác giả xác nhận được 1.155 repository
  • Trong số đó, 351 repo được đánh giá là có khả năng độc hại cao dựa trên README và cấu trúc tệp .rar/.zip
• Vấn đề
  • Chưa tới 10% repository có issue để lại cảnh báo kiểu "đây là mã độc", cho thấy cơ chế cảnh báo người dùng còn thiếu hiệu quả
  • Nhiều người có nguy cơ nhầm tưởng đây là phần mềm hợp pháp rồi thực thi chúng

Conclusion

• Thông tin bất hợp pháp trên mạng
  • Tồn tại những diễn đàn có thể truy cập rất dễ dàng trên web thông thường, không cần Tor hay lời mời riêng
  • Nhiều hình thức lừa đảo như ransomware, crypto drainer đang được chia sẻ công khai và sôi động
• Sự đơn giản của Redox Stealer
  • Chỉ với vài trăm đến vài nghìn dòng mã Python, nó có thể tự động thu thập lượng lớn thông tin rồi gửi cho kẻ tấn công
  • Mức độ kỹ thuật không quá cao, nên rất dễ bị phát tán ở quy mô lớn
• GitHub cần có biện pháp xử lý
  • Ngay cả những repository đã bị công khai qua issue là độc hại cũng thường vẫn bị bỏ mặc
  • Nếu GitHub chủ động giám sát và chặn mạnh tay hơn, thiệt hại có thể sẽ giảm bớt
• Kết lại
  • Khi định tải crack game hay phần mềm, người dùng cần kiểm tra kỹ tính mã nguồn mở, dấu hiệu quét virus và độ tin cậy của nguồn
  • Tác giả cho biết sẽ tiếp tục công bố các phân tích tiếp theo về scam và quảng cáo lừa đảo

Tóm tắt

• Malware đang được phát tán qua GitHub: đa số dùng các tên gọi như "miễn phí", "crack", "mod", nhưng thực tế chứa Redox Stealer
  • Redox Stealer rất đơn giản, nên ai cũng có thể phát tán hàng loạt một cách dễ dàng
• Đối tượng bị nhắm tới chính: ví tiền mã hóa, tài khoản Steam/Riot Games, PayPal, Facebook, Twitter cùng nhiều loại tài khoản khác
• Biện pháp phòng tránh
  • Chỉ tải từ nguồn đáng tin cậy
  • Kiểm tra kỹ các liên kết hoặc README đáng ngờ
  • Xem GitHub Issues, đánh giá sao và phản hồi từ người dùng khác
  • Duy trì phần mềm diệt virus và các bản vá bảo mật mới nhất
• Scam dựa trên diễn đàn đang lan rộng
  • Rào cản gia nhập thấp khiến bất kỳ ai cũng có thể lấy hướng dẫn rồi phát tán script độc hại
  • Một kẻ tấn công có thể mua nhiều tài khoản rồi đăng hàng trăm repository để mở rộng phạm vi phát tán
• Trách nhiệm của GitHub và cộng đồng bảo mật
  • Cần tăng cường hệ thống nhận diện và chặn repository độc hại
  • Việc nâng cao cảnh giác cho người dùng phổ thông là điều bắt buộc

• Trong bối cảnh hiện nay, mọi repository GitHub tự nhận cung cấp miễn phí "crack" hoặc "mod" đều nên bị nghi ngờ
• Bảng tính (xem liên kết) chứa danh sách hơn 1.000 repository đáng ngờ do tác giả thu thập
• Tất cả các mã độc này đều quy về một mục tiêu duy nhất là lợi ích tài chính, với đặc trưng là phát tán nhanh và ở quy mô lớn