Uma campanha de ameaças astuta está abusando de repositórios do GitHub para distribuir malware, visando usuários que frequentam um repositório de projeto de código aberto ou estão inscritos para receber notificações por e-mail dele.
Um usuário malicioso do GitHub abre uma nova "issue" em um repositório de código aberto, alegando falsamente que o projeto contém uma "vulnerabilidade de segurança" e incentiva outros a visitar um domínio falso chamado "GitHub Scanner".
O domínio em questão, no entanto, não está associado ao GitHub e engana os usuários para instalarem malware no Windows.
Para tornar a situação ainda mais interessante, usuários e colaboradores desses repositórios recebem esses alertas de e-mail "IMPORTANTE!" dos servidores legítimos do GitHub cada vez que um ator de ameaças abre uma nova issue em um repositório, fazendo com que essa campanha de phishing pareça mais convincente.
Os usuários do GitHub têm recebido notificações por e-mail esta semana, instando-os a abordar uma falsa "vulnerabilidade de segurança" em um projeto de repositório ao qual contribuíram ou estão, de outra forma, inscritos.
Aos usuários é aconselhado a visitar "github-scanner[.]com" para saber mais sobre o suposto problema de segurança.
Para tornar o isco mais convincente, o e-mail é originário de um endereço de e-mail legítimo do GitHub, [email protected], e é assinado "Atenciosamente, Equipe de Segurança do GitHub" no corpo da mensagem.
O domínio, github-scanner[.]com, não está afiliado ao GitHub e está sendo usado para entregar malware aos visitantes.
Ao visitar o domínio, os usuários se deparam com um captcha falso que os incentiva a "verificar se são humanos".
Assim que um usuário clica em "Não sou um robô", um código JavaScript em segundo plano copia um código malicioso para a área de transferência dele.
Uma tela subsequente solicita que o usuário execute o comando Run do Windows (pressionando a combinação de teclas Windows+R) e cole (Ctrl+V) o conteúdo na janela de prompt do "Run".
O código JavaScript nos bastidores, mostrado abaixo, está buscando outro arquivo, download.txt, também hospedado em github-scanner[.]com.
O arquivo contém instruções do PowerShell para baixar um executável do Windows 'l6E.exe' do mesmo domínio, salvar como "SysSetup.exe" em um diretório temporário e executá-lo.
Como identificado por vários motores de antivírus até agora, este 'l6E.exe' [análise do VirusTotal] é um trojan e vem equipado com capacidades de anti-detecção e persistência.
Quanto à forma como essas notificações por e-mail estão sendo disparadas? O segredo para isso é a funcionalidade de "Issues" do GitHub, que está sendo abusada por atores de ameaças para inundar repositórios de código aberto e impulsionar essa campanha.
Atores de ameaças criam contas de usuário pseudônimas no GitHub e as usam para abrir uma nova "Issue" em um projeto de código aberto, levando outros a visitar o domínio falso do GitHub Scanner.
O conteúdo desta Issue será circulado como alertas de e-mail, a partir dos servidores oficiais do GitHub, para aqueles que estão inscritos no repositório de código aberto em questão.
Os usuários devem evitar abrir links e anexos em tais e-mails e relatar as "issues" correspondentes ao GitHub para investigação.
Este incidente demonstra mais uma maneira pela qual plataformas extremamente populares como o GitHub podem ser abusadas por usuários mal-intencionados.
Em abril deste ano, uma campanha sofisticada abusou de comentários no GitHub para distribuir malware por meio de URLs que pareciam estar associadas ao repositório oficial da Microsoft.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...