Campagna di phishing prende di mira gli utenti GitHub: un'esca sofisticata che sfrutta PowerShell per scaricare Lumma Stealer

Il ricercatore di sicurezza Brian Krebs ha condiviso sul proprio blog KrebsOnSecurity l'esistenza di una nuova campagna di phishing che sta prendendo di mira gli utenti di GitHub e che sfrutta le funzionalità di Windows per distribuire malware. La campagna, segnalata a Krebs proprio da un utente di GitHub, fa leva sullo strumento PowerShell di Windows per eseguire un comando che scarica un payload dannoso.

Fonte: KrebsOnSecurity

L'attacco inizia con un'e-mail che sembra provenire dal team di sicurezza di GitHub e avverte il destinatario dell'esistenza di una presunta vulnerabilità nel suo repository. La vittima viene quindi indotta a visitare un sito web per ulteriori dettagli: è a questo punto che i visitatori si trovano dinnanzi ad una sorta di CAPTCHA atipico che chiede di compiere una serie di azioni che consistono nel premere in ordine alcune combinazioni di tasti.

In particolare viene richiesto di premere contemporaneamente il tasto Windows e la lettera R, successivamente di premere CTRL e la lettera V e infine di premere il tasto Invio. Gli utenti più accorti riconosceranno subito che le prime due combinazioni non sono altro che scorciatoie da tastiera: la prima per aprire il prompt dei comandi di Windows e la seconda per incollare il contenuto degli appunti.

Fonte: KrebsOnSecurity

Questa seconda operazione andrà ad incollare il contenuto degli appunti virtuali del sito web nel prompt dei comandi di Windows, e com'è facile immaginare a questo punto negli appunti è presente un comando PowerShell che scarica ed esegue (dopo la pressione del tasto Invio) un file chiamato l6e.exe. Per questo file il motore di ricerca Virustotal indica che si tratta del malware Lumma Stealer, recentemente parecchio utilizzato dai criminali informatici per sottrarre credenziali dal sistema della vittima, ma anche altri dati sensibili e privati.

Come dicevamo, la sequenza di tasti è ben riconoscibile da utenti smaliziati e di lungo corso, ed è anche improbabile che proprio gli utenti di GitHub (solitamente sviluppatori di varia estrazione) possano cadere vittima di un inganno simile. In ogni caso la campagna rappresenta un campanello d'allarme poiché può rivelarsi efficace verso utenti meno esperti che potrebbero ignorare l'esistenza delle scorciatoie da tastiera (o non essere in grado di riconoscerle una volta mostrate a schermo), comprendere le loro implicazioni e non conoscere per nulla cosa sia PowerShell e il prompt dei comandi. Talvolta vi sono campagne, operazioni e attacchi che agli occhi degli esperti appaiono semplici, se non addirittura ingenui, ma riescono invece ad essere particolarmente efficaci proprio tra gli utenti meno avvezzi al mezzo tecnologico o, per meglio dire, poco o per nulla consapevoli dei suoi rischi: se questa campagna non sembra rappresentare un pericolo concreto, è in realtà più preoccupante il principio su cui si basa, che potrebbe essere sfruttato per altre campagne potenzialmente più pericolose.