Phân tích mã độc đánh cắp thông tin trên Github

Github không cần phải nói nó là gì chắc anh em cũng biết rồi phải không ! Nó như một Facebook của lập trình viên, nơi mà chúng ta có thể tải lên mã nguồn của mình và download nhiều mã nguồn khác nhau, nhưng có bao giờ bạn nghi ngờ trong chính những tệp đó có chứa mã độc?



Tìm kiếm 
- Chúng ta có thể dễ dàng tìm thấy hàng trăm trang web có chứ mã độc với từ khóa là "bit.wo.tc" trên trang tìm kiếm publicwww


Chúng ta có thể dễ dàng nhận thấy đó là mỗi trang web trong đây đều được tiêm một đoạn script:
- Sau khi tớ mở đoạn script thì nó nội dung như sau:


document.write("
ca class='close' title='Close' onclick= document.getElementByIdrparent_popuplistyle.display=lnone'; >
"): delay_popup = 300;setTimeout(" document.getElementById('parent_popup').style.display=lblock—, delay_popup); 
- Khó nhìn vl, đổi sang sublime Text nhé:


- Vai trò của đoạn code này đó chính là mở 1 popup cài đặt flashplayer31 FAKE.




https://github[.]com/flashplayer31/flash/raw/master/flashplayer28pp_xa_install.exe ( 404 now)
- Sau khi tải về thì chứa hai tệp:
flashplayer28pp_xa_install.exe (được mô tả trong phần trên) và flashplayer28pp_xa_install.iso - một trojan bao gồm một file .ISO, với phần mềm độc hại /FLASHPLA.EXE.
==> Nếu tớ không nhầm thì đây chính là một em Lokibot:

Phần mềm độc hại này có thể ăn cắp thông tin đăng nhập  khách hàng FTP (ví dụ: FileZilla, FlashFXP, WS_FTP, v.v ...) và các chương trình SSH (ví dụ: PUTTY), làm cho nó trở nên đặc biệt nguy hiểm đối với quản trị webnhà phát triển web. ( Hôm nào rảnh tớ sẽ làm vài Tut về cái này nhé! )

Hackers thường xuyên đóng gói các chương trình để giảm thiểu tỷ lệ phát hiện của antivirus và sau đó biến nó thành 1 tệp .Git, đó là lý do tại sao chúng ta nhìn thấy các cảnh báo chung chung giống nhau trên VirusTotal trong mỗi tệp độc hại.

Nguy cơ từ Github

GitHub cung cấp cho những hackers một vài lợi thế so với các loại môi trường lưu trữ khác bởi vì nó:

  • Miễn phí sử dụng
  • Nó thích hợp cho tự động hóa
  • Tên miền có uy tín khiến nó không bị chặn bởi trình duyệt.
Cái gì cũng nó mặt trái của nó ngay cả Github cũng vậy, so hãy chắc chắn rằng bạn tải xuống những mã nguồn từ những nhà cung cấp có uy tín đàng hoàng nhé! À quên, ông nào có ý tưởng gì thì cứ inbox cho tớ để phát triển blog nhé. Thanks for viewing !!!