GitHub está sendo usado indevidamente para distribuir o malware de furto de informações Lumma Stealer, disfarçado de correções falsas postadas nos comentários de projetos.
A campanha foi inicialmente relatada por um contribuinte da biblioteca teloxide rust, que notou no Reddit que recebeu cinco comentários diferentes em seus problemas no GitHub que se passavam por correções, mas na realidade estavam propagando malware.
A solução orienta as pessoas a baixar um arquivo protegido por senha do mediafire.com ou por um URL bit.ly e executar o executável dentro dele.
Na campanha atual, a senha tem sido "changeme" em todos os comentários analisados.
O engenheiro reverso Nicholas Sherlock disse que mais de 29.000 comentários divulgando este malware foram postados em um período de 3 dias.
Clicar no link leva os visitantes a uma página de download para um arquivo chamado 'fix.zip', que contém alguns arquivos DLL e um executável denominado x86_64-w64-ranlib.exe.
Executar o executável no Any.Run indica que se trata do malware Lumma Stealer, voltado para o furto de informações.
Lumma Stealer é um info stealer avançado que, uma vez executado, tenta roubar cookies, credenciais, senhas, cartões de crédito e histórico de navegação do Google Chrome, Microsoft Edge, Mozilla Firefox, e outros navegadores baseados em Chromium.
O malware também pode roubar carteiras de criptomoedas, chaves privadas e arquivos de texto com nomes como seed.txt, pass.txt, ledger.txt, trezor.txt, metamask.txt, bitcoin.txt, words, wallet.txt, *.txt, e *.pdf, pois é provável que contenham chaves privadas de cripto e senhas.
Esses dados são coletados em um arquivo e enviados de volta ao atacante, onde podem usar as informações em ataques subsequentes ou vendê-las em marketplaces de cibercrime.
Embora a equipe do GitHub esteja deletando esses comentários conforme são detectados, pessoas já relataram ter caído no ataque.
Para aqueles que executaram o malware, é necessário alterar as senhas de todas as suas contas usando uma senha única para cada site e migrar as criptomoedas para uma nova carteira.
No mês passado, a Check Point Research divulgou uma campanha semelhante pelos atores de ameaça Stargazer Goblin, que criaram uma Distribuição como Serviço (DaaS) de malware a partir de mais de 3.000 contas falsas no GitHub para propagar malware de furto de informações.
Não está claro se esta é a mesma campanha ou uma nova conduzida por diferentes atores de ameaça.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...