Pesquisadores de cibersegurança descobriram várias repositórios no GitHub oferecendo software crackeado usados para entregar um ladrão de informações chamado RisePro. A campanha, apelidada de “gitgub”, inclui 17 repositórios associados a 11 contas diferentes. Os repositórios em questão foram removidos pela subsidiária da Microsoft.

Os repositórios parecem semelhantes, apresentando um arquivo README.md com a promessa de software crackeado gratuito. Círculos verdes e vermelhos são comumente usados no GitHub para exibir o status de builds automáticos.

Os atores de ameaça do gitgub adicionaram quatro círculos Unicode ao seu README.md que fingem exibir um status ao lado de uma data atual e fornecer uma sensação de legitimidade e atualidade.

O arquivo RAR, que exige que as vítimas forneçam uma senha mencionada no arquivo README.md do repositório, contém um arquivo instalador, que descompacta a carga útil da próxima etapa, um arquivo executável que é inflado para 699 MB em uma tentativa de travar ferramentas de análise como o IDA Pro.

O conteúdo real do arquivo, que totaliza apenas 3,43 MB, atua como um carregador para injetar o RisePro (versão 1.6) em AppLaunch.exe ou RegAsm.exe. Escrito em C++, ele é projetado para coletar informações sensíveis de hosts infectados e exfiltrá-las para dois canais do Telegram, que são frequentemente usados por atores de ameaças para extrair dados das vítimas.