GitHub: Σχόλια καταχρώνται και προωθούν το Lumma Stealer

secnews.gr

IT Security News, Gadgets, Tweaks for Geeks and More

GitHub: Σχόλια καταχρώνται και προωθούν το Lumma Stealer
https://www.secnews.gr/615729/github-sxolia-kataxrontai-proothoun-lumma-stealer/
Sep 2nd 2024, 13:35

Το GitHub καταχράται για τη διανομή του κακόβουλου λογισμικού Lumma Stealer, μέσω πλαστών διορθώσεων που δημοσιεύονται στα σχόλια έργου.



Δείτε επίσης: GitHub: Ευπάθεια GHES επιτρέπει παράκαμψη ελέγχου ταυτότητας






Η καμπάνια αναφέρθηκε για πρώτη φορά στο Reddit, σχετικά με πέντε διαφορετικά σχόλια στα προβλήματα του GitHub που προσποιήθηκαν ότι ήταν επιδιορθώσεις, αλλά αντίθετα προωθούσαν κακόβουλο λογισμικό. Περαιτέρω έλεγχος βρήκε χιλιάδες παρόμοια σχόλια που δημοσιεύτηκαν σε ένα ευρύ φάσμα έργων στο GitHub, τα οποία προσφέρουν ψεύτικες επιδιορθώσεις σε ερωτήσεις άλλων χρηστών.



Η λύση λέει στους χρήστες να κατεβάσουν ένα αρχείο που προστατεύεται με κωδικό πρόσβασης από το mediafire.com ή μέσω μιας διεύθυνσης URL bit.ly και να εκτελέσουν το εκτελέσιμο αρχείο σε αυτό. Στην τρέχουσα καμπάνια, ο κωδικός πρόσβασης είναι "changeme" σε όλα τα σχόλια που έχουν γίνει.



Ο Reverse engineer Nicholas Sherlock, δήλωσε στο BleepingComputer ότι πάνω από 29.000 σχόλια που ωθούσαν το Lumma Stealer μέσω του GitHub, είχαν δημοσιευτεί σε διάστημα 3 ημερών.



Κάνοντας κλικ στo σύνδεσμο οι επισκέπτες μεταφέρονται σε μια σελίδα λήψης για ένα αρχείο που ονομάζεται "fix.zip", το οποίο περιέχει μερικά αρχεία DLL και ένα εκτελέσιμο αρχείο με το όνομα x86_64-w64-ranlib.exe. Η εκτέλεση του εκτελέσιμου αρχείου στο Any.Run υποδηλώνει ότι πρόκειται για το κακόβουλο λογισμικό κλοπής πληροφοριών Lumma Stealer.



Το Lumma Stealer είναι ένα προηγμένο πρόγραμμα κλοπής πληροφοριών που όταν εκτελείται, επιχειρεί να κλέψει cookie, διαπιστευτήρια, κωδικούς πρόσβασης, πιστωτικές κάρτες και ιστορικό περιήγησης από το Google Chrome, το Microsoft Edge, το Mozilla Firefox και άλλα προγράμματα περιήγησης Chromium.



Δείτε ακόμα: Stargazer Goblin: Δημιουργεί ψεύτικους λογαριασμούς GitHub για εξάπλωση malware



Το κακόβουλο λογισμικό μπορεί επίσης να κλέψει πορτοφόλια κρυπτονομισμάτων, ιδιωτικά κλειδιά και αρχεία κειμένου με ονόματα όπως seed.txt, pass.txt, ledger.txt, trezor.txt, metamask.txt, bitcoin.txt, words, wallet.txt, *.txt , και *.pdf, καθώς είναι πιθανό να περιέχουν ιδιωτικά κλειδιά κρυπτογράφησης και κωδικούς πρόσβασης. Αυτά τα δεδομένα συλλέγονται σε ένα αρχείο και αποστέλλονται πίσω στον εισβολέα, όπου μπορεί να χρησιμοποιήσει τις πληροφορίες σε περαιτέρω επιθέσεις ή να τις πουλήσει σε παράνομες αγορές στον κυβερνοχώρο.






Ενώ το προσωπικό του GitHub διαγράφει αυτά τα σχόλια ενώ εντοπίζονται, κάποιοι χρήστες έχουν ήδη αναφέρει ότι έχουν πέσει θύμα του Lumma Stealer.



Για όσους εκτελούσαν το κακόβουλο λογισμικό, πρέπει να αλλάξουν τους κωδικούς πρόσβασης σε όλους τους λογαριασμούς τους χρησιμοποιώντας έναν μοναδικό κωδικό πρόσβασης για κάθε ιστότοπο και να μετεγκαταστήσουν τα κρυπτονομίσματά τοους σε ένα νέο πορτοφόλι.



Τον περασμένο μήνα, η Check Point Research αποκάλυψε μια παρόμοια καμπάνια από τους παράγοντες απειλών Stargazer Goblin, οι οποίοι δημιούργησαν ένα κακόβουλο λογισμικό Distribution-as-a-Service (DaaS) από πάνω από 3.000 ψεύτικους λογαριασμούς στο GitHub για να προωθήσουν κακόβουλο λογισμικό κλοπής πληροφοριών. Δεν είναι σαφές εάν πρόκειται για την ίδια εκστρατεία ή για μια νέα που διεξάγεται από διαφορετικούς κακόβουλους παράγοντες.



Δείτε επίσης: Πάνω από 3.000 λογαριασμοί GitHub χρησιμοποιούνται για διανομή malware



Το infostealer, όπως το Lumma Stealer που εντοπίστηκε σε σχόλια του GitHub, είναι ένας τύπος κακόβουλου λογισμικού που έχει σχεδιαστεί για να συλλέγει κρυφά ευαίσθητες πληροφορίες από τη συσκευή του θύματος. Αυτές μπορεί να περιλαμβάνουν προσωπικά στοιχεία όπως ονόματα χρήστη, κωδικούς πρόσβασης, στοιχεία πιστωτικής κάρτας και άλλα εμπιστευτικά δεδομένα. Τα Infostealers συχνά λειτουργούν στο παρασκήνιο, καταγράφοντας δεδομένα καθώς ο χρήστης αλληλεπιδρά με εφαρμογές ή ιστότοπους. Μόλις συγκεντρωθούν οι πληροφορίες, συνήθως αποστέλλονται σε έναν απομακρυσμένο διακομιστή που ελέγχεται από τον εισβολέα, ο οποίος μπορεί στη συνέχεια να τις εκμεταλλευτεί για δόλιες δραστηριότητες ή κλοπή ταυτότητας. Η πρόληψη τέτοιων επιθέσεων απαιτεί ισχυρά μέτρα ασφάλειας στον κυβερνοχώρο, συμπεριλαμβανομένου του ενημερωμένου λογισμικού προστασίας από ιούς και της ευαισθητοποίησης των χρηστών σχετικά με τις πρακτικές ασφαλούς περιήγησης.



Πηγή: bleepingcomputer



You are receiving this email because you subscribed to this feed at https://blogtrottr.com

If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια