GitHub este abuzat pentru a distribui malware-ul de furat informații Lumma Stealer sub forma unor soluții false postate în comentariile proiectelor.
Campania a fost raportată inițial de un contributor la biblioteca rust teloxide, care a remarcat pe Reddit că a primit cinci comentarii diferite în problemele lor de pe GitHub care pretindeau că sunt soluții, dar, în schimb, distribuiau malware.
O revizuire ulterioară efectuată de BleepingComputer a descoperit mii de comentarii similare postate pe o gamă largă de proiecte de pe GitHub, toate oferind soluții false la întrebările altor persoane.
Soluția le spune oamenilor să descarce un arhivă protejată cu parolă de pe mediafire.com sau printr-un URL bit.ly și să ruleze executabilul din interiorul ei. În campania curentă, parola a fost „changeme” în toate comentariile pe care le-am văzut.
Reverse engineer-ul Nicholas Sherlock a declarat pentru BleepingComputer că peste 29.000 de comentarii care distribuiau acest malware au fost postate într-un interval de 3 zile.
Apăsând pe link, vizitatorii sunt direcționați către o pagină de descărcare pentru un fișier numit ‘fix.zip’, care conține câteva fișiere DLL și un executabil numit x86_64-w64-ranlib.exe.
Rularea executabilului pe Any.Run indică faptul că este malware-ul de furat informații Lumma Stealer.
Lumma Stealer este un furător avansat de informații care, atunci când este executat, încearcă să fure cookie-uri, acreditări, parole, carduri de credit și istoricul de navigare din Google Chrome, Microsoft Edge, Mozilla Firefox și alte browsere Chromium.
Malware-ul poate de asemenea să fure portofele de criptomonede, chei private și fișiere text cu nume precum seed.txt, pass.txt, ledger.txt, trezor.txt, metamask.txt, bitcoin.txt, words, wallet.txt, *.txt și *.pdf, deoarece acestea sunt susceptibile să conțină chei private de criptomonede și parole.
Aceste date sunt colectate într-o arhivă și trimise înapoi la atacator, unde aceștia pot folosi informațiile în atacuri ulterioare sau le pot vinde pe piețele de cybercrime.
În timp ce personalul GitHub șterge aceste comentarii pe măsură ce sunt detectate, oamenii au raportat deja că au căzut în plasa atacului.
Pentru cei care au rulat malware-ul, trebuie să-și schimbe parolele la toate conturile folosind o parolă unică pentru fiecare site și să-și mute criptomonedele într-un nou portofel.
Luna trecută, Check Point Research a dezvăluit o campanie similară realizată de actorii de amenințare Stargazer Goblin, care au creat un Serviciu de Distribuție a Malware-ului (DaaS) din peste 3.000 de conturi false de pe GitHub pentru a distribui malware de furat informații.
Este neclar dacă aceasta este aceeași campanie sau una nouă realizată de diferiți actori de amenințare.
StackExchange abuzat pentru a răspândi pachete PyPi malicioase drept răspunsuri
Peste 3.000 de conturi GitHub folosite de serviciul de distribuție a malware-ului
Anunțuri Facebook pentru teme desktop Windows care distribuie malware de furat informații
Malware-ul ViperSoftX rulează discret PowerShell folosind scripturi AutoIT
Noul malware Voldemort abuzează Google Sheets pentru a stoca date furate
Leave a Reply