Sviluppatori GitHub nel mirino di Lumma Stealer

Molti utenti di GitHub stanno ricevendo un’e-mail allarmante con il titolo “IMPORTANT! Security Vulnerability Detected in your Repository (Issue #1)”, apparentemente inviata dal “GitHub Security Team”. L’e-mail avvisa di una presunta vulnerabilità di sicurezza e invita a cliccare su di un link (github-scanner[.]com) per ottenere maggiori informazioni. Lo rende noto il Cert-AgID in un recente comunicato.

Fonte Cert-AgID

La Catena d’infezione

Secondo la ricostruzione degli analisti la pagina web propinata via e-mail, all’apertura proporrebbe all’utente un metodo di verifica per dimostrare di non essere un bot, mentre eseguirebbe in background un file JavaScript per copiare in locale negli appunti una stringa di codice PowerShell.

Fonte Cert-AgID
Fonte Cert-AgID

Il codice PowerShell per essere seguito avrebbe però bisogno di una collaborazione involontaria dell’utente indotta successivamente dagli step successivi spacciati come verifica CAPTCHA che fungerebbe in realtà da detonatore.

Fonte Cert-AgID

Il compito dello script è quello di rilasciare il codice PowerShell descritto nella costante captchaText ed eseguito grazie ai comandi successivi: Windows+R (apre la finestra di dialogo “Esegui”), Ctrl+V (incolla il codice malevolo dentro il campo “Esegui”) e Enter (per eseguire il codice). In questo modo verrà avviato il download e l’esecuzione di un eseguibile l6E.exe. che verrà rinominato in locale con il nome SysSetup.exe“, spiega il Cert-AgID.

Questo eseguibile è il malware Lumma Stealer. E’ noto che una volta installato, Lumma Stealer sia un malware che inizia a raccogliere una vasta gamma di dati sensibili, tra cui credenziali di accesso, dati di portafogli di criptovalute, cookie e cronologia di navigazione, informazioni di sistema, rappresentando una minaccia significativa sia per gli individui che per le organizzazioni.

Come proteggersi

Lumma Stealer è un esempio di come i cyber criminali continuino a evolvere le loro tecniche per rubare informazioni sensibili. La consapevolezza e l’adozione di misure preventive risultano essenziali come misure di sicurezza contro queste minacce in continua evoluzione.

Per proteggersi è fondamentale:

  • Verificare l’autenticità delle notifiche di sicurezza: Non fidarsi ciecamente delle notifiche di vulnerabilità e verificare sempre la loro autenticità.
  • Aggiornare regolarmente il software: Mantenere aggiornati i sistemi operativi e le applicazioni per ridurre le vulnerabilità.
  • Utilizzare soluzioni di sicurezza avanzate: software antivirus e soluzioni di rilevamento delle minacce che utilizzano anche tecniche di analisi comportamentale.
  • Educare gli utenti: Sensibilizzare gli utenti sui rischi associati al download di file da fonti non affidabili e sull’importanza di seguire pratiche di sicurezza informatica robuste.

C’è da notare che negli ultimi tempi gli sviluppatori software risultano nel mirino degli attaccanti come dimostrato dalla recente campagna malware scoperta da ReversingLabs. In questo caso falsi reclutatori su piattaforme professionali come LinkedIn adescano gli sviluppatori su progetti GitHub mascherati da test di codifica.

Su Salvatore Lombardo 315 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.