
ผู้โจมตีรายหนึ่งได้สร้าง GitHub Repository ปลอมหลายร้อยแห่ง โดยแอบอ้างเป็นซอฟต์แวร์ และโปรเจกต์ด้าน Security ที่ถูกต้องเพื่อแพร่กระจาย Infostealer Malware
แคมเปญนี้อาศัยการหลอกผู้ใช้งานผ่านผลการค้นหาที่เกี่ยวข้องกับผลิตภัณฑ์ด้าน Security, บริการ Cryptocurrency, เครื่องมือด้านการเงิน, Developer Utilities, ผู้ให้บริการ Secure Email, เครื่องมือสำหรับ macOS และซอฟต์แวร์เกมต่าง ๆ
เมื่อเหยื่อติด Malware แล้ว Malware สามารถขโมยข้อมูลจาก Web Browser ได้มากกว่า 19 รายการ, ขโมยข้อมูลจาก Cryptocurrency Wallet 32 แบรนด์ และดึงข้อมูลสำคัญจากแอปพลิเคชันด้าน Messaging และ Social Media ออกไป
บริษัทด้าน Cybersecurity Arctic Wolf ตรวจพบกิจกรรมดังกล่าว หลังพบว่าผลิตภัณฑ์ตัวหนึ่งของบริษัทถูกนำไปแอบอ้างในแคมเปญนี้ตั้งแต่วันที่ 26 มิถุนายน 2026
จากการสืบสวน นักวิจัยพบ GitHub Repository ปลอมรวมทั้งหมด 292 แห่ง โดยแต่ละ Repository จะมีไฟล์ README พร้อมลิงก์ดาวน์โหลดที่พาผู้ใช้ไปยังหน้าเว็บไซต์อันตราย

หน้าเว็บไซต์ปลายทางถูกออกแบบให้ดูน่าเชื่อถือ ทั้งข้อความ และการใช้ Branding ของผลิตภัณฑ์ที่ถูกแอบอ้าง เช่น ปุ่ม “Download Secure Content” และตราสัญลักษณ์รับรอง (Trust Badge) ปลอม
เมื่อวิเคราะห์โค้ดของหน้าเว็บ นักวิจัยพบว่าเว็บไซต์ทั้งหมดใช้ Template HTML/JavaScript ชุดเดียวกัน แล้วเปลี่ยนเฉพาะรายละเอียดของแต่ละแบรนด์ที่นำมาแอบอ้าง
Arctic Wolf อธิบายว่า Script ฝั่ง Client จะอ่าน URL แล้วแบ่งออกเป็น 2 ส่วน ได้แก่
path[0] ใช้เป็น user_code ซึ่งเป็น Token ที่เปลี่ยนไปเรื่อย ๆ อย่างเช่น yyvxx9rswefr เพื่อใช้ติดตามว่าเหยื่อเข้ามาจาก GitHub Repository หรือ Redirector ใด และส่วน path[1] ใช้เก็บชื่อโดเมนของ Repository ที่แอบอ้าง เช่น Arctic-Wolf[.]github.io
จากนั้นเว็บไซต์จะนำข้อมูลในส่วนที่สองมาแสดงเป็นชื่อแบรนด์ โดยแทนที่เครื่องหมายขีด
ด้วยช่องว่าง และจัดรูปแบบตัวอักษรให้เหมือนชื่อผลิตภัณฑ์จริง

นักวิจัยระบุว่า เว็บไซต์จะส่งไฟล์ ZIP Archive ขนาดใหญ่ให้เหยื่อดาวน์โหลด โดยทั้งชื่อไฟล์ และ Payload ภายในจะถูกเปลี่ยนใหม่ประมาณ ทุก 1 นาที เพื่อหลบเลี่ยงการตรวจจับ ภายใน ZIP จะประกอบด้วย ไฟล์ libcurl.dll ที่ถูกดัดแปลงให้เป็นโทรจัน, โปรแกรม WinGUP Updater ที่เป็นไฟล์ถูกต้อง และมี Digital Signature ถูกต้อง แต่จะถูกเปลี่ยนชื่อให้สอดคล้องกับซอฟต์แวร์ที่กำลังแอบอ้าง
เมื่อผู้ใช้รันไฟล์ดังกล่าว โปรแกรม gup.exe จะใช้เทคนิค DLL Side-loading เพื่อโหลดไฟล์ libcurl.dll จากนั้น DLL จะ Decode และทำการ Reflective Execution ของ Infostealer ที่ฝังอยู่ทั้งหมดภายในหน่วยความจำ โดยไม่ต้องเขียนไฟล์ Malware ลงดิสก์
Infostealer ตัวนี้เชื่อว่าเป็นสายพันธุ์หนึ่งของ BoryptGrab โดยมีเป้าหมายขโมยข้อมูลดังต่อไปนี้
- รหัสผ่าน, Cookies, ข้อมูลการชำระเงิน และข้อมูลอื่น ๆ จาก Web Browser จำนวน 19 รายการ
- ข้อมูลจาก Cryptocurrency Wallet 32 แบรนด์
- Telegram Sessions, Discord Tokens และ Steam Session Tokens
- Credential ของแอปพลิเคชัน Meta Max
- ข้อมูลทั้งหมดใน Windows Credential Manager
- ไฟล์ในโฟลเดอร์ Desktop และ Documents ที่มีชื่อ หรือนามสกุลไฟล์บ่งชี้ว่าเกี่ยวข้องกับ Password, Recovery Phrase, Wallet หรือ Backup
- Screenshot ของหน้าจอ, รายละเอียดระบบ และรายการซอฟต์แวร์ที่ติดตั้งอยู่
นักวิจัยยังพบความสามารถใหม่ของ BoryptGrab ที่ไม่เคยมีการเปิดเผยมาก่อน โดย Malware สามารถ Bypass ระบบ App-Bound Encryption ของ Google Chrome ได้ผ่านการ Code Injection เข้าไปใน Process ของ Browser โดยตรง
หลังจากรวบรวมข้อมูลทั้งหมดแล้ว Malware จะบีบอัดข้อมูลก่อนส่งไปยัง Command-and-Control (C2) Server ที่ตั้งอยู่ในประเทศรัสเซีย

Arctic Wolf ระบุว่า Malware ตัวนี้ ไม่มีการสร้าง Persistence บนเครื่องเหยื่อ แต่ถูกออกแบบมาเพื่อขโมยข้อมูลให้ได้มากที่สุดภายในการรันเพียงครั้งเดียว
นอกจากนี้ Malware ยังไม่มีเทคนิค Anti-analysis สำหรับหลบหลีกการวิเคราะห์ และไม่ได้ลบข้อมูลชั่วคราวที่เก็บไว้ระหว่างเตรียมส่งข้อมูลออกจากเครื่อง ทำให้ยังคงมีหลักฐานด้าน Forensics หลงเหลืออยู่บนระบบ
ขณะที่ Arctic Wolf เผยแพร่รายงาน GitHub ได้ลบ Repository อันตรายจำนวนมากออกจากแพลตฟอร์มแล้ว แต่ยังคงมี GitHub Pages Redirector อีกหลายสิบรายการที่ยังคงใช้งานได้
นักวิจัยยังไม่สามารถระบุได้ว่า แคมเปญนี้เป็นฝีมือของกลุ่มผู้โจมตีกลุ่มใดโดยเฉพาะ แต่ประเมินว่าผู้โจมตีน่าจะเป็นผู้ใช้ภาษารัสเซีย และมีแรงจูงใจทางการเงิน
Arctic Wolf สรุปว่า ความสำเร็จของแคมเปญนี้ขึ้นอยู่กับการที่ผู้ใช้เชื่อถือลิงก์ดาวน์โหลดซอฟต์แวร์แบบฟรีจาก GitHub ที่ไม่ใช่แหล่งทางการ จึงแนะนำให้ผู้ใช้งานตรวจสอบความน่าเชื่อถือของ Repository ทุกครั้งก่อนดาวน์โหลด หรือรันไฟล์
นอกจากนี้ นักวิจัยยังเผยแพร่ YARA Rule สำหรับตรวจจับกิจกรรมดังกล่าว พร้อมทั้ง Indicators of Compromise (IoCs) ที่เกี่ยวข้องกับ Malware ตระกูล BoryptGrab เพื่อช่วยให้องค์กรสามารถนำไปใช้ตรวจจับ และตอบสนองต่อเหตุการณ์ได้รวดเร็วยิ่งขึ้น
ที่มา : bleepingcomputer

You must be logged in to post a comment.