Investigadores de Trend Micro identificaron una campaña de malware llamada BoryptGrab, un information stealer dirigido principalmente a usuarios de Windows. Este malware está diseñado para robar información sensible como credenciales de navegadores, cookies, datos del sistema y archivos personales, además de información de billeteras de criptomonedas.
La campaña utiliza repositorios y páginas engañosas alojadas en GitHub para distribuir archivos maliciosos que aparentan ser software legítimo o herramientas gratuitas. En algunos casos, el malware también instala componentes adicionales que permiten a los atacantes mantener acceso remoto al equipo comprometido y continuar robando información.
A continuación, compartimos IoC para ser agregados a las herramientas de seguridad perimetral.
EL ATAQUE
El ataque se llevó a cabo mediante una campaña que utilizó repositorios falsos en GitHub para distribuir el malware. Los atacantes crearon más de 100 repositorios que aparentaban ofrecer software gratuito, herramientas de productividad, cheats de videojuegos o versiones crackeadas de programas populares.
Para atraer a las víctimas, los repositorios estaban optimizados con técnicas de SEO, lo que hacía que aparecieran en los primeros resultados de búsqueda cuando los usuarios buscaban descargar estos programas. Al entrar al repositorio y hacer clic en el enlace de descarga, los usuarios eran redirigidos a páginas falsas que generaban un archivo ZIP malicioso.
Dentro del archivo ZIP se incluían componentes que iniciaban la cadena de infección, como ejecutables que cargaban librerías maliciosas o scripts que descargaban el malware. Una vez ejecutado, el sistema quedaba infectado y BoryptGrab comenzaba a recolectar información sensible para enviarla a los atacantes.
