O campanie de amenințare inteligentă abuzează repositoriile GitHub pentru a distribui malware care vizează utilizatorii care frecventează un proiect de sursă deschisă sau care sunt abonați la notificările prin e-mail de la acesta.
Un utilizator malefic de GitHub deschide o nouă ‘problemă’ pe un repository de sursă deschisă pretinzând fals că proiectul conține o ‘vulnerabilitate de securitate’ și îndeamnă alții să viziteze un domeniu fals ‘GitHub Scanner’. Cu toate acestea, domeniul respectiv nu este asociat cu GitHub și îi păcălește pe utilizatori să instaleze malware pentru Windows.
Pentru a face lucrurile și mai interesante, utilizatorii și contribuitorii la astfel de repositorii primesc aceste alerte prin e-mail ‘IMPORTANT!’ de la serverele legitime GitHub de fiecare dată când un actor malefic înregistrează o nouă problemă pe un repository, făcând această campanie de pescuit mai convingătoare.
Utilizatorii GitHub au primit notificări prin e-mail în această săptămână care îi îndeamnă să abordeze o ‘vulnerabilitate de securitate’ falsă într-un repository al unui proiect la care au contribuit sau la care sunt abonați în alt mod.
Utilizatorilor li se recomandă să viziteze ‘github-scanner[.]com’ pentru a afla mai multe despre presupusa problemă de securitate.
Pentru a face momeala mai convingătoare, e-mailul provine de la adresa de e-mail legitimă GitHub, ‘[email protected]’, și este semnat ‘Cu cele mai bune urări, Echipa de Securitate GitHub’ în corpul mesajului.
Domeniul github-scanner[.]com nu este afiliat cu GitHub și este folosit pentru a livra malware vizitatorilor.
La vizitarea domeniului, utilizatorii sunt întâmpinați cu un captcha fals care îi îndeamnă să ‘verifice că sunt oameni’.
Imediat ce un utilizator apasă ‘Nu sunt un robot’, codul JavaScript din culise copiază codul malefic în clipboardul acestuia.
Un ecran ulterior îi îndeamnă pe utilizatori să execute comanda de rulare Windows (apăsând combinația de taste Windows+R) și să lipească (Ctrl+V) conținutul în promptul utilitarului ‘Run’.
Codul JavaScript din culise, arătat mai jos, descarcă un alt fișier download.txt, găzduit și el pe github-scanner[.]com. Fișierul conține instrucțiuni PowerShell pentru a descărca un executabil Windows ‘l6E.exe’ de pe același domeniu, a-l salva ca ‘SysSetup.exe’ într-un director temporar și a-l executa.
Așa cum au identificat deja mai multe motoare antivirus, acest ‘l6E.exe’ [analiză VirusTotal] este un troian și vine echipat cu capacități anti-detectare și de persistență.
BleepingComputer a observat că executabilul încearcă să contacteze mai multe domenii suspecte, majoritatea fiind nefuncționale în momentul redactării acestui articol:
eemmbryequo.shop
keennylrwmqlw.shop
licenseodqwmqn.shop
reggwardssdqw.shop
relaxatinownio.shop
tendencctywop.shop
tesecuuweqo.shop
tryyudjasudqo.shop
Cât despre modul în care sunt declanșate aceste notificări prin e-mail? Secretul constă în funcționalitatea ‘Probleme GitHub’ care este abuzată de actorii de amenințare pentru a inunda repositoriile de sursă deschisă și a promova această campanie.
Actorii de amenințare creează conturi de utilizator GitHub pseudonime și le folosesc pentru a deschide o nouă ‘Problemă’ pe un proiect de sursă deschisă, ducând alții să viziteze domeniul fals GitHub Scanner.
Conținutul acestei Probleme va fi circulat sub formă de alerte prin e-mail, de la serverele GitHub oficiale, către cei care s-au abonat la repository-ul de sursă deschisă în cauză.
Utilizatorii ar trebui să se abțină să deschidă linkuri și atașamente în astfel de e-mailuri și să raporteze ‘problemele’ corespunzătoare către GitHub pentru investigație.
Acest incident demonstrează încă o modalitate în care platformele extrem de populare precum GitHub pot fi abuzate de utilizatorii malefici.
În aprilie, o campanie sofisticată a abuzat comentariile GitHub pentru a distribui malware prin URL-uri care păreau a fi asociate cu repository-ul oficial Microsoft.
Mulțumiri lui Cody Nash pentru informații.
Peste 3.000 de conturi GitHub folosite de serviciul de distribuție a malware-ului
Comentariile GitHub abuzate pentru a distribui malware de furat parole mascate sub forma unor remedieri
Un nou malware Voldemort abuzează Google Sheets pentru a stoca date furate
Hackerii abuzează de TryCloudflare gratuit pentru a livra malware de acces la distanță
Un manual fals de reparații CrowdStrike promovează un nou malware infostealer
Leave a Reply