Распространители вредоносного ПО начали применять новый способ отправки вредоносных писем от имени команды, занимающейся обеспечением безопасности в GitHub. Рассылка нацелена на стимулирование сопровождающих и разработчиков, пользующихся платформой Windows, к совершению действий, приводящих к установке вредоносного ПО на их системы. Метод интересен тем, что письма приходят с реальных почтовых серверов GitHub и, если не обратить внимание на мелочи, напоминают реальные уведомления.
Для рассылки писем с серверов GitHub злоумышленники размещают в разделе «issues» атакуемого проекта на GitHub сообщение о выявлении связанной с безопасностью проблеме, но вместо описания сути уязвимости, добавляют текст, стилизованный под предупреждение от команды «Github Security Team». Разработчикам проекта направляется email с уведомлением о появлении нового сообщения в «issues», который выглядит не как сообщение от постороннего, а как уведомление от самого GitHub. Для того, чтобы разработчики не заметили подозрительной активности на странице GitHub, созданный issue сразу удаляется.
В тексте сообщения указывается, что дополнительную информацию о выявленной проблеме можно получить на сайте github-scanner.com. Данный сайт создан злоумышленниками и использует восхитительный своей простой и наивностью метод для организации запуска вредоносного ПО на системе жертвы — при открытии сайта выводится запрос подтверждения, что вход осуществлён реальным пользователем, а не ботом, в котором предлагается вначале согласиться с прохождением проверки, а затем нажать сочетания клавиш «Windows+R», «Ctrl+V» и Enter. При нажатии кнопки согласия в буфер обмена копируется команда для загрузки и запуска вредоносного приложения при помощи PowerShell, а при нажатии сочетаний клавиш открывается окно ввода команд, в котором из буфера обмена вставляется и выполняется вредоносная команда.
В случае выполнения команды на систему пользователя устанавливается вредоносное ПО «LUMMASTEALER», осуществляющее поиск и отправку на сервер злоумышленников конфиденциальных данных, таких как ключи доступа, криптокошельки, сохранённые пароли и сессионные Cookie из браузеров.
Источник: opennet.ru