G DATA CyberDefenseはこのほど、「RisePro stealer targets Github users in “gitgub” campaign」において、GitHubから情報窃取マルウェア「RisePro」を配布するサイバー攻撃のキャンペーン「GitGub」を発見したとして、注意を喚起した。このキャンペーンでは、複数のGitHubリポジトリーから海賊版アプリケーションに偽装する方法でマルウェアが配布されている。

  • RisePro stealer targets Github users in “gitgub” campaign

    RisePro stealer targets Github users in “gitgub” campaign

「GitGub」キャンペーンの概要

G DATA CyberDefenseによって発見された悪意のあるGitHubリポジトリは次のとおり。

  • andreastanaj/AVAST
  • andreastanaj/Sound-Booster
  • aymenkort1990/fabfilter
  • BenWebsite/-IObit-Smart-Defrag-Crack
  • Faharnaqvi/VueScan-Crack
  • javisolis123/Voicemod
  • lolusuary/AOMEI-Backupper
  • lolusuary/Daemon-Tools
  • lolusuary/EaseUS-Partition-Master
  • lolusuary/SOOTHE-2
  • mostofakamaljoy/ccleaner
  • rik0v/ManyCam
  • Roccinhu/Tenorshare-Reiboot
  • Roccinhu/Tenorshare-iCareFone
  • True-Oblivion/AOMEI-Partition-Assistant
  • vaibhavshiledar/droidkit
  • vaibhavshiledar/TOON-BOOM-HARMONY
  • 悪意のあるGitHubリポジトリー「aymenkort1990/fabfilter」 - 引用:G DATA CyberDefense

    悪意のあるGitHubリポジトリ「aymenkort1990/fabfilter」 引用:G DATA CyberDefense

これらリポジトリには市販のアプリケーションの名称が付けられており、それらアプリケーションを不正利用できると見せかけた作りになっている。これらリポジトリからリンクされているダウンロードファイルはすべて同じアーカイブファイルとされる。このアーカイブファイルはリポジトリのREADME.mdで指定されているパスワードを入力することにより復元可能になっているが、インストーラーに到達するまで同じ復元作業を数回繰り返す必要があるという。

このインストーラーを実行すると、暗号化された実行可能ファイルが復号されて実行される。この実行可能ファイルは本物に見せかけるためにファイルサイズを肥大化させる処置が施されているが、一般的な0のパディングではなく、繰り返しブロックとユニークなブロックを組み合わせた肥大化データを持つとされる。

G DATA CyberDefenseはこの肥大化データを取り除くことで、699MBの実行可能ファイルから3.43MBの本体を取り出している。なお、この肥大化データはIDA ProやResourceHackerなどの分析ソフトウェアを妨害するとされる。

マルウェア「RisePro」と対策

肥大化データを取り除いた実行可能ファイルは.NET形式の実行可能ファイルとされる。このファイルも分析を妨害するために特殊な加工を施していることが確認されている。このファイルを実行するとマルウェア「RisePro」をダウンロードし、AppLaunch.exeまたはRegAsm.exeに感染する。RiseProはシステム上のさまざま情報を収集し、攻撃者のTelegramチャネルに送信する機能を持つとされる。

今回のキャンペーンではGitHub上から海賊版アプリケーションに偽装する方法でマルウェアが配布されており、このような攻撃を回避するためにも違法性の疑われる海賊版アプリケーションには関わらないことが推奨されている。G DATA CyberDefenseは今回の調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。