Campagna di phishing prende di mira gli utenti GitHub: un'esca sofisticata che sfrutta PowerShell per scaricare Lumma Stealer

Campagna di phishing prende di mira gli utenti GitHub: un'esca sofisticata che sfrutta PowerShell per scaricare Lumma Stealer

La campagna sfrutta un insolito CAPTCHA che spinge a premere una combinazione di tasti: in questo modo si copia un comando PowerShell che scarica il malware

di pubblicata il , alle 16:21 nel canale Sicurezza
 

Il ricercatore di sicurezza Brian Krebs ha condiviso sul proprio blog KrebsOnSecurity l'esistenza di una nuova campagna di phishing che sta prendendo di mira gli utenti di GitHub e che sfrutta le funzionalità di Windows per distribuire malware. La campagna, segnalata a Krebs proprio da un utente di GitHub, fa leva sullo strumento PowerShell di Windows per eseguire un comando che scarica un payload dannoso.


Fonte: KrebsOnSecurity

L'attacco inizia con un'e-mail che sembra provenire dal team di sicurezza di GitHub e avverte il destinatario dell'esistenza di una presunta vulnerabilità nel suo repository. La vittima viene quindi indotta a visitare un sito web per ulteriori dettagli: è a questo punto che i visitatori si trovano dinnanzi ad una sorta di CAPTCHA atipico che chiede di compiere una serie di azioni che consistono nel premere in ordine alcune combinazioni di tasti.

In particolare viene richiesto di premere contemporaneamente il tasto Windows e la lettera R, successivamente di premere CTRL e la lettera V e infine di premere il tasto Invio. Gli utenti più accorti riconosceranno subito che le prime due combinazioni non sono altro che scorciatoie da tastiera: la prima per aprire il prompt dei comandi di Windows e la seconda per incollare il contenuto degli appunti.


Fonte: KrebsOnSecurity

Questa seconda operazione andrà ad incollare il contenuto degli appunti virtuali del sito web nel prompt dei comandi di Windows, e com'è facile immaginare a questo punto negli appunti è presente un comando PowerShell che scarica ed esegue (dopo la pressione del tasto Invio) un file chiamato l6e.exe. Per questo file il motore di ricerca Virustotal indica che si tratta del malware Lumma Stealer, recentemente parecchio utilizzato dai criminali informatici per sottrarre credenziali dal sistema della vittima, ma anche altri dati sensibili e privati.

Come dicevamo, la sequenza di tasti è ben riconoscibile da utenti smaliziati e di lungo corso, ed è anche improbabile che proprio gli utenti di GitHub (solitamente sviluppatori di varia estrazione) possano cadere vittima di un inganno simile. In ogni caso la campagna rappresenta un campanello d'allarme poiché può rivelarsi efficace verso utenti meno esperti che potrebbero ignorare l'esistenza delle scorciatoie da tastiera (o non essere in grado di riconoscerle una volta mostrate a schermo), comprendere le loro implicazioni e non conoscere per nulla cosa sia PowerShell e il prompt dei comandi. Talvolta vi sono campagne, operazioni e attacchi che agli occhi degli esperti appaiono semplici, se non addirittura ingenui, ma riescono invece ad essere particolarmente efficaci proprio tra gli utenti meno avvezzi al mezzo tecnologico o, per meglio dire, poco o per nulla consapevoli dei suoi rischi: se questa campagna non sembra rappresentare un pericolo concreto, è in realtà più preoccupante il principio su cui si basa, che potrebbe essere sfruttato per altre campagne potenzialmente più pericolose.

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
euscar20 Settembre 2024, 16:36 #1
"Win"+R
Ctrl+V
Enter

se anche un solo utente PC, utente pure di GitHub, si fa convincere da questa sequenza, allora "è cosa buona e giusta" che lo f@tt1n0
supertigrotto20 Settembre 2024, 19:50 #2
Originariamente inviato da: euscar
"Win"+R
Ctrl+V
Enter

se anche un solo utente PC, utente pure di GitHub, si fa convincere da questa sequenza, allora "è cosa buona e giusta" che lo f@tt1n0

Ma come,io con questo metodo ho vinto un iPhone limited edition,firmato da Jobs in persona e costruito a mano da Wozniak,sei tu che non prendi al volo le occasioni!
Fra l'altro mi faranno pure un bonifico dopo aver messo i miei dati bancari.....
Rosica, rosica,rosica che io ho fatto l'affare
nobucodanasr21 Settembre 2024, 00:23 #3
In Windows 10 Win+R apre Esegui non il Prompt dei comandi.
In Windows 11 l'hanno modificata per puntare al Prompt?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^