Распространители вредоносного ПО начали использовать отправку вредоносных писем от имени команды безопасности GitHub

Разработчик и эксперт по информационной безопасности Ян Спенс предупредил, что распространители вредоносного ПО начали применять новый способ отправки вредоносных писем от имени команды, занимающейся обеспечением безопасности на платформе GitHub.

По информации OpenNET, такая зловредная рассылка нацелена на стимулирование сопровождающих и разработчиков, пользующихся платформой Windows, к совершению действий, приводящих к установке вредоносного ПО на их системы. Метод интересен тем, что письма приходят с реальных почтовых серверов GitHub и, если не обратить внимание на мелочи, напоминают реальные уведомления.

Для рассылки электронных писем с серверов GitHub злоумышленники размещают в разделе issues атакуемого проекта на GitHub сообщение о выявлении связанной с безопасностью проблеме, но вместо описания сути уязвимости, добавляют текст, стилизованный под предупреждение от команды Github Security Team.

В этом случае разработчикам проекта направляется электронное письмо с уведомлением о появлении нового сообщения в issues, который выглядит не как сообщение от внешнего источника, а как уведомление от платформы GitHub. Примечательно, что для того, чтобы разработчики не заметили подозрительной активности на странице GitHub, созданный issue сразу удаляется.

В тексте присланного сообщения указывается, что дополнительную информацию о выявленной проблеме можно получить на сайте github-scanner[.]com. Этот ресурс создан злоумышленниками и использует простой метод для организации запуска вредоносного ПО на системе жертвы. При открытии сайта появляется запрос подтверждения, что вход осуществлён реальным пользователем, а не ботом, в котором предлагается вначале согласиться с прохождением проверки, а затем нажать сочетания клавиш «Windows+R», «Ctrl+V» и Enter. При нажатии кнопки согласия в буфер обмена копируется команда для загрузки и запуска вредоносного приложения при помощи PowerShell, а при нажатии сочетаний клавиш открывается окно ввода команд, в котором из буфера обмена вставляется и выполняется вредоносная команда.

В случае выполнения команды на систему пользователя устанавливается вредоносное ПО LUMMASTEALER. Этот зловред осуществляет поиск и отправку на сервер злоумышленников конфиденциальных данных, таких как ключи доступа, криптокошельки, сохранённые пароли и сессионные Cookie из браузеров.