Github dolandırıcılığı soruşturması: Verilerinizi çalan binlerce 'Mod' ve 'crack'

• GitHub'da "mods" veya "cracks" kılığına sokulmuş çok sayıda depo bulunuyor ve kullanıcı bunları indirdiğinde bilgisayardaki hassas bilgileri çalan bir dolandırıcılık (scam) söz konusu oluyor
• Roblox, Fortnite, FL Studio, Adobe Photoshop gibi popüler program ve oyun adları kullanılarak "ücretsiz indir" ya da "crack sürüm" gibi tanıtılıyor
• Bu kötü amaçlı dosya çalıştırıldığında Redox Stealer benzeri, bilgi toplayan bir malware devreye giriyor
• Çalınan bilgiler Discord sunucularına veya Anonfiles gibi paylaşım sitelerine gönderiliyor; böylece kripto para cüzdanları ya da sosyal medya hesapları ele geçiriliyor
• GitHub aramasıyla bu tür depolar kolayca bulunabiliyor ve gerçek ölçeğin en az binin üzerinde olduğu tahmin ediliyor
• GitHub'da herkese açık issue'larla "virüs" veya "malware" uyarısı yapılan durumlar da var, ancak bu toplamın yalnızca yaklaşık %10'unu oluşturuyor; bu da çok sayıda kullanıcının risk altında kalmasına yol açıyor

TL;DR

• Tespit süreci
  • Sosyal mühendislikle ilgili bir forumda, GitHub'a büyük miktarda kötü amaçlı depo yaymaya yönelik somut bir rehber bulundu
  • Rehber temel alınarak saldırganların bizzat oluşturduğu depolar da takip edildi
• Ölçek
  • 1.115'ten fazla depo bulundu; bunların içinde yapısı şüpheli ve kötü amaçlı olma ihtimali yüksek olanların sayısı en az 351
  • Depoların %10'undan azı issue üzerinden uyarı almış durumda; büyük çoğunluğu normal görünmeye devam ediyor
• Kötü amaçlı yazılımın özellikleri
  • Redox Stealer ailesine benziyor; Discord webhook üzerinden kurbanın bilgisayarındaki çerezleri, parolaları, kripto para cüzdanlarını, oyun hesaplarını ve çeşitli hassas bilgileri çalıyor
  • Paylaşım siteleri (ör. Anonfiles) üzerinden sıkıştırılmış dosya biçiminde gönderildikten sonra, webhook ile sonraki bağlantılar iletiliyor; ardından bunlar analiz edilip alınıp satılıyor

Arka plan

• Telegram bot reklamı
  • Yazar, daha önce kullandığı bir TikTok analiz botundan gelen mesajlarda foruma ilişkin reklam gördü
  • Söz konusu forum, ayrı bir davet veya Tor erişimi olmadan yalnızca e-posta ve parola ile kayıt olunarak yasa dışı ticaretlerin ve rehberlerin görüntülenebildiği bir yapıya sahip
• Forumun özellikleri
  • Hesap ticaretinden (ör. TikTok, Instagram, Facebook Ads vb.) dolandırıcılık amaçlı "affiliate" program materyallerine kadar her şey serbestçe paylaşılıyor
  • ransomware as a service (RaaS), CryptoGrab gibi zaten bilinen birçok scam bulunuyor; ancak GitHub üzerinden malware dağıtım rehberi yeni ve sarsıcı
• Redox Stealer
  • Telegram gibi platformlarda dağıtılan, nispeten basit bir Python betiği olan bir kötü amaçlı yazılım
  • PC'de bulunabilen tüm hassas bilgileri topluca toplayıp bir Discord sunucusuna gönderen bir yapıya sahip

GitHub'a trafik [akıtmanın] A'dan Z'ye yolu

• Toplu GitHub hesabı temini
  • Yaklaşık 1,5 dolara hesap satın alınıyor ya da doğrudan çok sayıda hesap oluşturulup saldırıda kullanılıyor
• Kötü amaçlı dosya yükleme yöntemi
  • Dosyalar .zip, .rar gibi arşivler halinde GitHub'a yükleniyor veya README'ye harici paylaşım bağlantıları eklenerek virüs taramasından kaçınılıyor
• README şablonu
  • Gerçek ekran görüntüleri, videolar ve virustotal tarama sonuçları (sahte) eklenerek güven vermesi amaçlanıyor
  • ChatGPT vb. araçlarla README metni biraz değiştirilerek yinelenen içerik tespitinden kaçılıyor
• Topics etiketlerinin kullanımı
  • GitHub topic özelliği kullanılarak oyun adları, crack, hack, cheat gibi anahtar kelimeler tekrar tekrar ekleniyor
  • Arama motorlarında "ücretsiz crack" gibi terimleri arayan kişilere görünmesi kolaylaştırılıyor
  • Yasaklı topic olup olmadığını kontrol edip buna göre kaçınma yöntemi de anlatılıyor

Redox Stealer analizi

• Dosyanın çalıştırılma süreci
  • Kullanıcı depoyu indirip kötü amaçlı betiği çalıştırdığında, PC içindeki bilgilerin toplanması başlıyor
  • ip, geolocation, kullanıcı adı, tarayıcı çerezleri, parolalar, Discord, Telegram, Steam, Riot Games hesapları, kripto para cüzdan dosyaları gibi çok sayıda veri hedefleniyor
• Toplama yöntemi
  • Malware, tarayıcı çerezlerini, parolaları ve Discord token'larını çıkarmak için sqlite DB dosyalarını geçici olarak kopyalıyor
  • Metamask, Exodus gibi kripto para eklentilerinin dosyaları ile Steam, Riot Games gibi oyun hesap bilgisi dosyaları ayrıca sıkıştırılıp yükleniyor
• Veri aktarımı
  • Çalınan dosyalar Anonfiles benzeri paylaşım servislerine yükleniyor; bağlantılar veya bilgiler Discord webhook üzerinden saldırgana iletiliyor
  • Nihai amaç, satış değeri olan hesapları (ör. kripto para, oyun eşyaları) veya finansal bilgileri (kredi kartı, PayPal vb.) ele geçirmek

GitHub'da arama ve tespit

• Ölçeğin tahmini
  • Rehberde, tek bir kişinin bile 300-500 depo yükleyerek günde 50-100'den fazla kurban kaydı üretebileceği anlatılıyor
  • Gerçekte birden fazla kişinin bu şemayı aynı anda yürütüyor olması muhtemel; dolayısıyla kötü amaçlı depo sayısı çok daha fazla olabilir
• PoC (Proof of Concept) betiği
  • Yazar, rehberde verilen anahtar kelimeleri (ör. "fortnite hack", "roblox cheat" vb.) birleştirip GitHub Search API kullanarak depoları otomatik olarak taradı
  • Yaklaşık 2.100 topic anahtar kelimesiyle yapılan kontrolde 1.155 depo tespit edildi
  • Bunların 351'inin, README ve .rar/.zip dosya yapıları dikkate alındığında kötü amaçlı olma ihtimalinin yüksek olduğu değerlendirildi
• Sorunlar
  • Depoların %10'undan azında "bu kötü amaçlıdır" şeklinde bir issue bulunduğundan kullanıcıları uyarma işlevi yetersiz kalıyor
  • Çok sayıda kullanıcı bunları normal program sanıp çalıştırma riskiyle karşı karşıya

Sonuç

• İnternetteki yasa dışı bilgiler
  • Tor veya özel davet gerektirmeden, normal web üzerinden kolayca erişilebilen forumlar mevcut
  • Ransomware, crypto drainer ve çeşitli scam'ler aktif biçimde paylaşılıyor
• Redox Stealer'ın basitliği
  • Yüzlerce ila binlerce satır Python koduyla geniş çaplı bilgi otomatik toplanıp saldırgana gönderiliyor
  • Teknik zorluk seviyesi yüksek olmadığından kolayca kitlesel dağıtıma konu oluyor
• GitHub'ın müdahale ihtiyacı
  • Kötü amaçlı olduğu issue'larda açıkça belirtilmiş depoların bile olduğu gibi bırakıldığı birçok örnek var
  • Zararın azalması için GitHub'ın daha aktif izleme ve engelleme uygulaması gerektiği düşünülüyor
• Kapanış
  • Oyun veya program crack'leri indirmeye çalışırken açık kaynak olup olmadığı ve virüs taraması durumu dikkatle kontrol edilmeli
  • Yazar, scam/dolandırıcılık reklamlarına ilişkin ek analizler yayımlayacağını belirtiyor

Özet

• GitHub kötü amaçlı yazılım dağıtımı için kullanılıyor: Çoğu "ücretsiz", "crack", "mod" adlarını kullanıyor ve gerçekte Redox Stealer içeriyor
  • Redox Stealer kolay ve basit olduğu için herkes tarafından toplu şekilde dağıtılması çok kolay
• Başlıca hedefler: Kripto para cüzdanları, Steam/Riot Games hesapları, PayPal, Facebook, Twitter gibi geniş bir hesap yelpazesi
• Korunma yöntemleri
  • Yalnızca güvenilir kaynaklardan indirme yapmak
  • Şüpheli bağlantıları veya README'leri dikkatle incelemek
  • GitHub Issues, yıldız sayısı veya diğer kullanıcı yorumlarını kontrol etmek
  • Antivirüs ve güncel güvenlik yamalarını korumak
• Forum tabanlı scam yayılımı
  • Düşük giriş bariyeri nedeniyle herkes rehberi edinip kötü amaçlı betik dağıtabilir
  • Tek bir saldırganın birden fazla hesap satın alıp yüzlerce depo yüklemesi şeklinde yayılıyor
• GitHub ve güvenlik topluluğunun sorumluluğu
  • Kötü amaçlı depoları tespit etme ve engelleme sistemlerinin güçlendirilmesi gerekiyor
  • Sıradan kullanıcıların farkındalığının artırılması şart

• GitHub'da "crack" veya "mod"u ücretsiz sunduğunu iddia eden depolara her zaman şüpheyle yaklaşılmalı
• E-tablo (bağlantıya bakın), yazarın topladığı 1.000'den fazla şüpheli depo listesini içeriyor
• Tüm malware'ler tek bir amaca (maddi kazanç) bağlanıyor ve hızlı, büyük ölçekli dağıtım ortak özellik olarak öne çıkıyor