Hackers convierten GitHub en un almacén de troyanos

Los desarrolladores del troyano de acceso remoto PureHVNC (RAT) alcanzaron un nuevo nivel de camuflaje, usando GitHub para alojar el código fuente y los módulos de su kit de herramientas maliciosas. A tal conclusión llegó el equipo de Check Point Research, que analizó un ataque de ocho días que empleó una técnica de ingeniería social denominada ClickFix.

Durante la investigación quedó claro que los servidores de mando y control de PureHVNC distribuían a los dispositivos infectados enlaces a repositorios en GitHub donde se alojaban complementos y componentes adicionales de la familia Pure. Los investigadores establecieron un vínculo entre esos repositorios y cuentas de desarrollador bajo el seudónimo PureCoder. El análisis permitió reconstruir no solo la arquitectura del propio malware, sino también las prácticas de su creación y rastrear la huella geográfica del autor.

La campaña comenzó con el envío de correos de phishing que dirigían a las víctimas a un sitio falso de ofertas de empleo. Allí se ejecutaba un script de PowerShell, escrito en Rust, que descargaba el RAT PureHVNC con los identificadores «2a» y «amazon3». En el transcurso de ocho días el atacante llegó a emplear varios scripts maliciosos en JavaScript, instalar PureHVNC en dos ocasiones, persistirlo en el sistema mediante tareas programadas y luego conectar el framework Sliver para un control completo de la red.

El malware proporcionaba acceso persistente, usando conexiones SSL cifradas para transmitir información sobre el sistema: datos de antivirus, nivel de privilegios, versión del sistema operativo y tiempo de actividad. Para ocultar la actividad, los datos se comprimían y se dividían en bloques de 16 KB. Durante el análisis se logró reconstruir el conjunto completo de comandos de PureHVNC, el formato de las configuraciones y el mecanismo de carga de los complementos. Se descubrió que los complementos se almacenan comprimidos en el registro y se descomprimen dinámicamente al ejecutarse.

El constructor PureCrypter, incluido en el paquete, permite a los clientes elegir opciones de cifrado, métodos de persistencia y técnicas de inyección de código. Esta estructura modular da a los atacantes la capacidad de adaptar el malware a distintos objetivos.

Un hallazgo clave de los investigadores de Check Point fue que las cuentas de GitHub testdemo345 y DFfe9ewf/PURE-CODER-1 están directamente vinculadas a PureCoder. En esos repositorios se hallaron los códigos fuente de las extensiones TwitchBot y YoutubeBot, destinadas a inflar suscriptores, "me gusta" y clics publicitarios. Los metadatos de los commits señalan la zona horaria UTC+0300, lo que podría situar al autor en Europa oriental o Asia occidental. Además, los expertos observaron que PureHVNC aplica técnicas para eludir mecanismos de protección integrados en Windows, incluyendo la desactivación de las comprobaciones AMSI en memoria y el enganche de funciones de carga de bibliotecas para suplantar el comportamiento de procesos.

La fase final de la infección consiste en ejecutar el código shell descifrado a través de una región de memoria dedicada. Esta organización permite ocultar la presencia del programa y dificultar su análisis. Al mismo tiempo, el uso de GitHub como almacén hace la infraestructura de los atacantes más resistente y fácil de actualizar, pero deja rastros apreciables. Esto permite a los investigadores seguir la creación de nuevos repositorios, analizar patrones de commits y detectar con antelación la aparición de nuevos módulos.

Check Point también detectó un panel de administración PureRAT que admite varios idiomas, entre ellos inglés, ruso y chino, lo que indica que el proyecto está orientado al mercado internacional de servicios cibercriminales.

La combinación de la alta disponibilidad de GitHub, canales de comunicación cifrados y herramientas de gestión integradas convierte a PureHVNC en una amenaza seria. Se recomienda a las organizaciones que supervisen atentamente la actividad de red, en particular las llamadas a la API de GitHub y la descarga de repositorios desde sistemas de usuarios.

Indicadores de compromiso pueden incluir tareas programadas que referencien dichas descargas, junto con conexiones SSL atípicas a puertos no estándar. Otra línea de caza es el monitoreo de nuevas versiones de PureCrypter y PureLogs, que a menudo acompañan ataques que usan PureRAT.

En el futuro, los autores del malware podrían abandonar GitHub en favor de plataformas alternativas de desarrollo colaborativo o incluir la carga de módulos directamente en el compilador. Para protegerse se requieren métodos de detección flexibles que combinen comprobaciones por firma con algoritmos de comportamiento que tengan en cuenta los patrones de trabajo de los propios desarrolladores.

Comprender sus hábitos de infraestructura y sus métodos de desarrollo permite a los equipos de seguridad obtener ventaja en la lucha contra esta familia de amenazas de rápida evolución.