Ένα νέο κακόβουλο λογισμικό κλοπής δεδομένων που ονομάζεται BoryptGrab εξαπλώνεται αθόρυβα σε συστήματα Windows μέσω ενός δικτύου ψεύτικων αποθετηρίων GitHub, εξαπατώντας τους χρήστες να κατεβάσουν αυτό που φαίνεται να είναι δημοφιλή δωρεάν εργαλεία λογισμικού.
Η καμπάνια, η οποία είναι ενεργή τουλάχιστον από τον Απρίλιο του 2025, χρησιμοποιεί χειρισμό μηχανών αναζήτησης για να κάνει αυτά τα κακόβουλα αποθετήρια να φαίνονται νόμιμα, παρασύροντας ανυποψίαστα θύματα σε μια προσεκτικά κατασκευασμένη αλυσίδα μόλυνσης που τελειώνει με ευαίσθητα δεδομένα που αποστέλλονται σιωπηλά στον εισβολέα.
Ο ηθοποιός των απειλών δημιούργησε πάνω από εκατό δημόσια αποθετήρια GitHub, καθένα από τα οποία μεταμφιέζεται σε μια δωρεάν σελίδα λήψης για διάφορα εργαλεία, όπως cheats παιχνιδιών, σπασμένο λογισμικό και εφαρμογές παραγωγικότητας.
Αυτά τα αποθετήρια χρησιμοποιούν λέξεις-κλειδιά βελτιστοποιημένες για SEO στα αρχεία τους README για να κατατάσσονται κοντά στην κορυφή των αποτελεσμάτων των μηχανών αναζήτησης, που συχνά εμφανίζονται δίπλα στα νόμιμα αποτελέσματα.
Μόλις ένας χρήστης κάνει κλικ σε έναν σύνδεσμο λήψης σε μία από αυτές τις σελίδες, περνά από μια σειρά ανακατευθύνσεων — συμπεριλαμβανομένων των URL με κωδικοποίηση βάσης 64 και κρυπτογράφησης AES — προτού τελικά προσγειωθεί σε μια ψεύτικη σελίδα λήψης που δημιουργεί και παραδίδει ένα κακόβουλο αρχείο ZIP.
Οι αναλυτές της Trend Micro προσδιόρισαν την καμπάνια BoryptGrab ενώ ανιχνεύονταν ύποπτα αρχεία ZIP που κυκλοφορούσαν στη φύση και ήταν σε θέση να χαρτογραφήσουν την πλήρη αλυσίδα μόλυνσης πίσω σε αυτές τις σελίδες που φιλοξενούνται στο GitHub.
Η έρευνά τους αποκάλυψε όχι μόνο έναν κλέφτη, αλλά μια ευρύτερη λειτουργία πολλαπλών συστατικών που εκτελείται σε διαφορετικές παραλλαγές ωφέλιμου φορτίου, καθεμία με ετικέτες εσωτερικών ονομάτων κατασκευής όπως “Shrek”, “Sonic”, “Yaropolk” και “CryptoByte” – υποδεικνύοντας μια οργανωμένη και ενεργά διατηρούμενη απειλή.
Το BoryptGrab έχει κατασκευαστεί για να συλλέγει ένα ευρύ φάσμα ευαίσθητων δεδομένων. Συλλέγει διαπιστευτήρια και cookies από πολλά προγράμματα περιήγησης, συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Brave και Yandex Browser.
Στοχεύει επίσης σε περισσότερες από 30 εφαρμογές πορτοφολιών κρυπτονομισμάτων για επιτραπέζιους υπολογιστές και επεκτάσεις πορτοφολιού που βασίζονται σε προγράμματα περιήγησης, συμπεριλαμβανομένων των Exodus, Electrum, Ledger Live, Atomic και Trezor Suite.
Πέρα από αυτό, καταγράφει στιγμιότυπα οθόνης, συλλέγει αρχεία Telegram, διακριτικά Discord, κοινά αρχεία συστήματος και πληροφορίες χρήστη, στη συνέχεια αρχειοθετεί και ανεβάζει αθόρυβα τα πάντα σε έναν διακομιστή που ελέγχεται από τους εισβολείς.
Μια ιδιαίτερα ανησυχητική προσθήκη σε αυτήν την καμπάνια είναι το TunnesshClient, ένα backdoor που παραδίδεται ως εκτελέσιμο PyInstaller που δημιουργεί μια αντίστροφη σήραγγα SSH στον διακομιστή του εισβολέα.
Μέσω αυτής της σήραγγας, ο εισβολέας μπορεί να εκτελέσει εντολές απομακρυσμένου κελύφους, να περιηγηθεί και να μεταφέρει αρχεία από το μηχάνημα του θύματος και να χρησιμοποιήσει το παραβιασμένο σύστημα ως διακομιστή μεσολάβησης SOCKS5.
Η παρουσία σχολίων στη ρωσική γλώσσα στον κώδικα και τις διευθύνσεις IP του κακόβουλου λογισμικού που σχετίζονται με τη Ρωσία υποδηλώνουν ότι ο παράγοντας απειλής πιθανότατα δρα από εκεί.
Μέσα στον Μηχανισμό Λοιμώξεων
Η μόλυνση ξεκινά όταν ένα θύμα κατεβάζει ένα αρχείο ZIP από μια από τις ψεύτικες σελίδες που φιλοξενούνται στο GitHub.
Το αρχείο index.htm της σελίδας μεταφέρει σχόλια στη ρωσική γλώσσα και ανακατευθύνει το πρόγραμμα περιήγησης σε μια σελίδα home.html, η οποία αποκωδικοποιεί μια σκληρά κωδικοποιημένη διεύθυνση URL με κωδικοποίηση base64 και προωθεί τον χρήστη σε μια τελική ψεύτικη σελίδα λήψης.
.webp.jpeg)
Αυτή η σελίδα δημιουργεί και εξυπηρετεί δυναμικά το κακόβουλο αρχείο ZIP προσαρμοσμένο στην επίσκεψη του θύματος. Μέσα στο αρχείο ZIP, το dropper του εισβολέα μπορεί να λάβει μία από τις διάφορες μορφές.
Σε μια κοινή παραλλαγή, ένα εκτελέσιμο με εύλογη εμφάνιση φορτώνει ένα κακόβουλο αρχείο libcurl.dll, το οποίο αποκρυπτογραφεί ένα ενσωματωμένο ωφέλιμο φορτίο εκκίνησης χρησιμοποιώντας λειτουργίες XOR και AES-CBC πριν απευθυνθεί στον διακομιστή του εισβολέα για να ανακτήσει το δυαδικό αρχείο κλοπής BoryptGrab.
.webp.jpeg)
Σε μια άλλη παραλλαγή, μια δέσμη ενεργειών VBS χρησιμοποιεί ασαφείς εντολές PowerShell για τη λήψη του ωφέλιμου φορτίου, ενώ προσθέτει επίσης εξαιρέσεις του Windows Defender για να εμποδίσει το εγκατεστημένο λογισμικό ασφαλείας να εντοπίσει τα κακόβουλα αρχεία.
Μόλις εκτελεστεί, το BoryptGrab ελέγχει πρώτα για περιβάλλοντα εικονικής μηχανής σαρώνοντας καταχωρίσεις μητρώου και συγκεκριμένες διαδρομές αρχείων συστήματος, επιτρέποντάς του να αποφύγει την ενεργοποίηση μέσα στα πλαίσια ανάλυσης ασφαλείας.
.webp.jpeg)
Χρησιμοποιεί τον κώδικα παράκαμψης κρυπτογράφησης δεσμευμένης εφαρμογής Chrome, ο οποίος προέρχεται από δημόσια αποθετήρια GitHub, για την εξαγωγή προστατευμένων διαπιστευτηρίων του προγράμματος περιήγησης. Αφού συγκεντρώσει όλα τα δεδομένα που μπορεί να φτάσει, τα συσκευάζει όλα σε ένα αρχείο και τα στέλνει αθόρυβα στον εισβολέα.
Οι χρήστες θα πρέπει να κάνουν λήψη λογισμικού μόνο από επαληθευμένες, επίσημες πηγές και να αποφεύγουν δωρεάν λήψεις εργαλείων από άγνωστα αποθετήρια GitHub. Οι ομάδες ασφαλείας θα πρέπει να παρακολουθούν για μη αναμενόμενες προγραμματισμένες εργασίες, ξαφνικές αλλαγές εξαίρεσης του Windows Defender και ασυνήθιστη εξερχόμενη κίνηση σε άγνωστους διακομιστές.
Η διασφάλιση ότι τα εργαλεία ασφάλειας τερματικού σημείου διατηρούνται ενημερωμένα και ότι οι λήψεις λογισμικού επαληθεύονται θα μειώσει σημαντικά την έκθεση σε καμπάνιες αυτού του είδους.
