Malware GitHub

Campanha inteligente abusa de repositórios GitHub para enviar malware

19/09/2024 16:00

Uma nova campanha de ameaças inteligente abusa de repositórios do GitHub para distribuir o malware de roubo de senhas chamado Lumma Stealer. A campanha visa usuários que frequentam um repositório de projeto de código aberto ou que estão inscritos para receber notificações por e-mail dele.

Malware Lumma Stealer sendo distribuído via repositórios GitHub

Um usuário malicioso do GitHub abre um novo “issue” em um repositório de código aberto, alegando falsamente que o projeto contém uma “vulnerabilidade de segurança” e incita outros a visitar um domínio falsificado “GitHub Scanner”. O domínio em questão, no entanto, não está associado ao GitHub e engana os usuários para instalar malware do Windows.

Usuários e colaboradores desses repositórios recebem esses alertas de e-mail “IMPORTANTE!” de servidores legítimos do GitHub toda vez que um agente de ameaça registra um novo problema em um repositório, fazendo com que essa campanha de phishing pareça mais convincente.

Alertas de e-mail falsos sobre “vulnerabilidades de segurança”

Usuários do GitHub têm recebido notificações por e-mail pedindo que eles corrijam uma falsa “vulnerabilidade de segurança” em um repositório de projeto para o qual eles contribuíram ou no qual estão inscritos. Os usuários são aconselhados a visitar “github-scanner[.]com” para saber mais sobre o suposto problema de segurança.

Para tornar a isca mais convincente, o e-mail se origina de um endereço de e-mail legítimo do GitHub, [email protected], e é assinado “Atenciosamente, Equipe de Segurança do Github” no corpo da mensagem.

Imagem com informações Malware GitHub — Notificações de e-mail do GitHub alertando sobre uma falsa “vulnerabilidade de segurança” em um projeto
Imagem: Reprodução | Bleeping Computer

O domínio github-scanner[.]com não é afiliado ao GitHub e está sendo usado para distribuir malware aos visitantes. Ao visitar o domínio, os usuários são recebidos com um captcha falso solicitando que eles “verifiquem se você é humano”. Assim que um usuário clica em “Não sou um robô”, o código JavaScript em segundo plano copia o código malicioso para a área de transferência.

De acordo com o Bleeping Computer, uma tela subsequente solicita que o usuário execute o comando Executar do Windows (pressionando a combinação de teclas Windows+R) e colando (Ctrl+V) o conteúdo no prompt do utilitário “Executar”. O código JavaScript dos bastidores, está buscando outro arquivo download.txt, também hospedado em github-scanner[.]com. O arquivo contém instruções do PowerShell para baixar um executável do Windows ‘l6E.exe’ do mesmo domínio, salvá-lo como “SysSetup.exe” em um diretório temporário e executá-lo.

Conforme identificado por vários mecanismos antivírus até agora, este ‘l6E.exe’ [ análise do VirusTotal ] é um trojan e vem equipado com recursos de antidetecção e persistência. Quando executado, o malware tenta entrar em contato com vários domínios suspeitos.

O BleepingComputer confirmou que o malware é o Lumma Stealer, um malware para roubo de informações usado para roubar credenciais, cookies de autenticação e histórico de navegação de navegadores instalados.

O malware também é capaz de roubar carteiras de criptomoedas ou arquivos que podem conter informações confidenciais do dispositivo infectado.

Via: Bleeping Computer

Assuntos

Mais Notícias

Mais artigos

Quishing

Quishing: um ataque de phishing usando códigos QR!

Você deve estar acostumado com o termo phishing, golpe que usa e-mails, por exemplo, para fazer suas vítimas. O Quishing é um tipo de ataque de phishing em que criminosos usam códigos QR para induzir os usuários a fornecer informações confidenciais ou baixar malware. Ataques de Quishing Nos últimos anos, a disseminação de carros elétricos […]

Ransomware emergente

Cicada3301: ameaça emergente ou rebranding do Alphv/BlackCat?

O Cicada3301, um novo ransomware, tem várias semelhanças com o Alphv/BlackCat, levando a suspeitas de que seja um rebranding. Saiba mais sobre as táticas e diferenças entre esses grupos.

Styx Stealer

Desmascarando o Styx Stealer: como um erro de hacker levou a um tesouro de inteligência

Nossa equipe de especialistas da Check Point Research (CPR) descobriu recentemente o Styx Stealer, um novo malware capaz de roubar dados de navegadores, sessões de mensageiros instantâneos do Telegram e Discord e criptomoedas. Embora tenha surgido pouco tempo atrás, já foi identificado em ataques, incluindo aqueles direcionados a diversas empresas e setores. O desenvolvedor do […]

Ataque Ransomware

Ataque de ransomware Cicada3301 atinge sistemas Windows, Linux e ESXi

O grupo de ransomware Cicada3301, surgido em 2024, está atacando sistemas Windows, Linux e ESXi. Usando técnicas de criptografia avançadas e operando como uma plataforma de ransomware-as-a-service, ele representa uma ameaça crescente.

Dsistribuição de Malware

Comentários do GitHub são usados para espalhar malware!

O GitHub está sendo usado para distribuir o malware Lumma Stealer. Esse malware rouba informações, como correções falsas postadas nos comentários do projeto e está sendo espalhado na plataforma. Malware sendo espalhado em comentários do GitHub A campanha foi relatada pela primeira vez por um colaborador da biblioteca teloxide rust (Via: Bleeping Computer), que observou […]

Imagem de abelha represnetando ransomware

Ransomware Linux

Ransomware Cicada3301 para Linux tem como alvo os sistemas VMware ESXi

Uma nova operação de ransomware Linux como serviço (RaaS) chamada Cicada3301 já listou 19 vítimas em seu portal de extorsão, tendo como alvo os sistemas VMware ESXi. A operação está mirando em ataques a empresas no mundo todo. Ransomware Linux Cicada3301 A nova operação de crimes cibernéticos recebeu o nome do misterioso jogo online/real de […]