Манипуляция с рассылкой уведомлений через GitHub для распространения вредоносного ПО

20.09.2024 09:29

Распространители вредоносного ПО начали применять новый способ отправки вредоносных писем от имени команды, занимающейся обеспечением безопасности в GitHub. Рассылка нацелена на стимулирование сопровождающих и разработчиков, пользующихся платформой Windows, к совершению действий, приводящих к установке вредоносного ПО на их системы. Метод интересен тем, что письма приходят с реальных почтовых серверов GitHub и, если не обратить внимание на мелочи, напоминают реальные уведомления.

Для рассылки писем с серверов GitHub злоумышленники размещают в разделе "issues" атакуемого проекта на GitHub сообщение о выявлении связанной с безопасностью проблемы, но вместо описания сути уязвимости, добавляют текст, стилизованный под предупреждение от команды "Github Security Team". Разработчикам проекта направляется email с уведомлением о появлении нового сообщения в "issues", который выглядит не как сообщение от постороннего, а как уведомление от самого GitHub. Для того, чтобы разработчики не заметили подозрительной активности на странице GitHub, созданный issue сразу удаляется.

В тексте сообщения указывается, что дополнительную информацию о выявленной проблеме можно получить на сайте github-scanner.com. Данный сайт создан злоумышленниками и использует восхитительный своей простотой и наивностью метод для организации запуска вредоносного ПО на системе жертвы - при открытии сайта выводится запрос подтверждения, что вход осуществлён реальным пользователем, а не ботом, в котором предлагается вначале согласиться с прохождением проверки, а затем нажать сочетания клавиш "Windows+R", "Ctrl+V" и Enter. При нажатии кнопки "я не робот" на первом экране в буфер обмена копируется команда для загрузки и запуска вредоносного приложения при помощи PowerShell, а при последующем нажатии сочетаний клавиш открывается окно ввода команд ("Windows+R"), в котором из буфера обмена вставляется ("Ctrl+V") и выполняется ("Enter") вредоносная команда.

В случае выполнения команды на систему пользователя устанавливается вредоносное ПО "LUMMASTEALER", осуществляющее поиск и отправку на сервер злоумышленников конфиденциальных данных, таких как ключи доступа, криптокошельки, сохранённые пароли и сессионные Cookie из браузеров.

исправить +23 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/61895-github

Ключевые слова: github, mallware

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (59)

1.1, Аноним (1), 09:53, 20/09/2024 [ответить] [﹢﹢﹢] [ · · · ]	+11 +/–
Вроде это было в прошлом месяце. Неужели, работает? На самом деле хороший способ отфильтровать подобные кадры от доступа к репе, жаль, часто повторять не получится.

2.3, Жироватт (ok), 09:57, 20/09/2024 [^] [^^] [^^^] [ответить]	+2 +/–
Хм...спасибо за идею. Думаю, можно попросить ИБшников/сисадминов посодействовать.

3.6, Анонимище (?), 10:19, 20/09/2024 [^] [^^] [^^^] [ответить]	+/–
Только не удивляйтесь если после подобных "гениальных" идей вас работодатель выставит на мороз

4.31, Аноним (31), 12:18, 20/09/2024 [^] [^^] [^^^] [ответить]	–1 +/–
Только не удивляйтесь если подобных идей ему повысят ЗП сделают ВП и у него будет дача в ЮСА.

4.35, нах. (?), 12:36, 20/09/2024 [^] [^^] [^^^] [ответить]	+/–
да с тем десятком стыренных кошелечечков - нахрен ему тот работодатель дальше и нужон...

5.37, Анонимище (?), 12:38, 20/09/2024 [^] [^^] [^^^] [ответить]	+2 +/–
Действительно, адвокат будет гораздо нужннее

6.40, нах. (?), 12:51, 20/09/2024 [^] [^^] [^^^] [ответить]	+1 +/–
вечно вы тут обгадите хорошую идею :-(

3.7, Анонимище (?), 10:22, 20/09/2024 [^] [^^] [^^^] [ответить]	+/–
Или же что придется доказывать судье что в скрипте который загрузился на компьютер испытуемого не было вредоноса.

4.19, Аноним (1), 11:38, 20/09/2024 [^] [^^] [^^^] [ответить]	+/–
> Или же что придется доказывать судье что в скрипте который загрузился на > компьютер испытуемого не было вредоноса. Глупости, достаточно трекать. А скрипт не сам загрузился, а был собственноручно загружен оператором.

5.30, Анонимище (?), 12:17, 20/09/2024 [^] [^^] [^^^] [ответить]	+/–
Да, но путем введения оператора в заблуждение. В юриспруденции важны не только конкретные действия и их результаты, но также и намерения лиц их совершивших

6.63, Аноним (1), 19:05, 20/09/2024 [^] [^^] [^^^] [ответить]	+/–
А в чём заблуждение? Он же сам говорит загрузить код из интернета и исполнить его, значит, отдать весь контроль ботнету и было целью.

4.39, Жироватт (ok), 12:43, 20/09/2024 [^] [^^] [^^^] [ответить]	+3 +/–
Одного приказа за подписью руководства и ИБшников вполне достаточно, чтобы юный подавальщик-в-суды банально замолчал и ушел на своё рабочее место, с выговором за несоблюдение режима ИБ. Самым продвинутым можно показать, подписанную ими лично, должностную инструкцию и, подписанный лично ими, инструктаж от ИБ, где это все есть. Понимаю, тебе неприятно, тебя могут поймать на этом, но в этом и вся соль.

5.50, Анонимище (?), 14:12, 20/09/2024 [^] [^^] [^^^] [ответить]	+/–
Что это там за инструкция такая, которая позволяет работодателю без ведома работника устанавливать софт на личный компьютер работника?

6.53, Аноним (53), 16:34, 20/09/2024 [^] [^^] [^^^] [ответить]	+/–
Он сам её установил. Сам ввел команду или кто тебе разрешает хром скачивать, запрос работадателю пишешь?

7.59, Анонимище (?), 18:07, 20/09/2024 [^] [^^] [^^^] [ответить]	+/–
Ещё раз, важно намерение. В его намерения НЕ входила установка этой программы. С таким же успехом можно сказать, что сам себя отравил человек который выпил чай с потихоря посыпанным ядом

8.65, Вананас (?), 19:17, 20/09/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Насколько понял, жиробас это про рабочие пекарни, если аж нужно делать приказ и ... текст свёрнут, показать

1.2, Жироватт (ok), 09:56, 20/09/2024 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
...а я ведь говорил, что превращение хранилища кода в соцсеть до добра не доведёт. Напомнило древниючий развод с "антивирусом в браузере".

2.13, Аноним (13), 11:05, 20/09/2024 [^] [^^] [^^^] [ответить]

–1 +/–

> ...а я ведь говорил

Да ты в каждой новости отмечаешься...

> превращение хранилища кода в соцсеть до добра не доведёт.

Раскрой мысль, как твои умничания соотносятся с новостью? Или ты ее вообще не читал?

3.26, Аноним (26), 12:00, 20/09/2024 Скрыто ботом-модератором [к модератору]	+2 +/–

2.36, нах. (?), 12:37, 20/09/2024 [^] [^^] [^^^] [ответить]	+1 +/–
давайте выкинем уже оттуда хренилище кода. Соцсети вполне достаточно.

2.54, Аноним (54), 16:35, 20/09/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Странная позиция, если учесть что групповая разработка софта — это в первую очередь социальная дисциплина, и уж только потом техническая и научная.

3.66, Вананас (?), 19:22, 20/09/2024 [^] [^^] [^^^] [ответить]	+2 +/–
Не путай инструмент совместной разработки с соцсетью, в которой зачем-то оставлена возможность совместного написания кода. Гитхаб сейчас в пункте 2.

4.74, Аноним (54), 00:00, 21/09/2024 [^] [^^] [^^^] [ответить]	+/–
Я-то как раз не путаю. И гитхаб — самый что ни на есть инструмент. То, что отдельные личности не могут не нагадить в комментариях никак не отменяет этого факта. Как и ваше персональное неумение применить инструмент для решения задачи.

5.77, Аноним (-), 14:42, 22/09/2024 [^] [^^] [^^^] [ответить]	+/–
Этот инструмент в последнее время стал наглый, агрессивный, назойлывый, постоянно делающий мозг и срывающий рабочие процессы, да еще "улучшили" до совершенно дикого жора CPU браузером постоянно. Поннимали улучшателей супертулсов по объявлению - и гитхаб отправился вслед за русиновичем, скайпом и прочими когда-то хорошими, но ныне дохлыми или непотребными штуками.

2.71, Аноним (71), 21:01, 20/09/2024 [^] [^^] [^^^] [ответить]	–1 +/–
> ...а я ведь говорил, что превращение хранилища кода в соцсеть до добра не доведёт. GH не соцсеть и никогда ей не был. А "хранилище кода" без issue и PR нахрен никому не нужно.

3.72, Dzen Python (ok), 21:46, 20/09/2024 [^] [^^] [^^^] [ответить]	+3 +/–
Ты описал гитхаб образца 2014-15 годов. Сейчас это полноценная соцсеть. Без котиков и дикпиков, но на их месте СоС'и мусорные пуллы. А в тикетах у любого мало-мальски популярного софта так вообще полноценный цирк (с мамой - реддитом и папой - имиджбодой) творится.

1.4, hshe (?), 10:00, 20/09/2024 [ответить] [﹢﹢﹢] [ · · · ]	+13 +/–
нажать сочетания клавиш "Windows+R", "Ctrl+V" и Enter. Это пять, квест на дол6@еба

2.11, Аноним (31), 11:03, 20/09/2024 [^] [^^] [^^^] [ответить]	+2 +/–
А ведь у какого-нибудь убунтушника не сработает и он пойдет жаловаться в гитхаб что у них на работает. А саппорту голову ломать что он несёт.

2.46, Аноним (46), 13:22, 20/09/2024 [^] [^^] [^^^] [ответить]	+2 +/–
Мы в молодости через рекомендацию сделать "ALT+F4", отсеивали не адекватов и залетных мимокрокодилов. Похоже мамонты не вымрут никогда. Ну или сама платформа опустилась до уровня "поскрести по полу". (Никогда не понимал, зачем отдавать в интернет собственные файлы.)

3.75, Аноним (-), 00:32, 21/09/2024 [^] [^^] [^^^] [ответить]

+1 +/–

> Мы в молодости через рекомендацию сделать "ALT+F4",
> отсеивали не адекватов и залетных мимокрокодилов.

В IRC неплохо работал совет сделать /join 0 или если тип чуть более прошареный, /join #something,0. Хотя некоторые и на предложение /quit въ...ть велись, бывают и такие гроссмейстеры.

> Похоже мамонты не вымрут никогда.
> Ну или сама платформа опустилась до уровня "поскрести по полу".

А что еще от майкрософта ожидать? Ну вот им и "капчу" под уровень их клиентуры сделали.

1.5, Аноним (5), 10:05, 20/09/2024 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
> восхитительный своей простой и наивностью метод половина поделий устанавливается с этих соевых вконтактов через curl\|sudo, чего в этом восхитительного и наивного?

2.22, Аноним (26), 11:45, 20/09/2024 [^] [^^] [^^^] [ответить]	+/–
Но откуда у соевых вконтактов curl\|sudo?

3.25, Аноним (5), 11:54, 20/09/2024 Скрыто ботом-модератором [к модератору]	+/–

4.41, нах. (?), 12:52, 20/09/2024 Скрыто ботом-модератором [к модератору]	–1 +/–

....ответы скрыты (3)

1.10, Аноним (31), 11:01, 20/09/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+10 +/–

2.16, Аноним (-), 11:12, 20/09/2024 Скрыто ботом-модератором [к модератору]	–2 +/–

1.12, Аноним (13), 11:03, 20/09/2024 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
> Press Windows + R > Prese Ctrl + V > Press Enter Вы это серьезно? 🤦

2.20, Аноним (26), 11:40, 20/09/2024 [^] [^^] [^^^] [ответить]	–3 +/–
Что это делает? Я так и не понял из описания. Вроде бы Ctrl+V читает из буфера обмена, а написано что копипуется: > При нажатии кнопки согласия в буфер обмена копируется команда для загрузки и запуска вредоносного приложения при помощи PowerShell Enter что делает? Нажимаю Enter в бровзере и ничего не происходит.

3.21, Аноним (1), 11:43, 20/09/2024 [^] [^^] [^^^] [ответить]	+/–
Операционная система исполняет команду, которую браузер скопировал в буфер обмена. С правами пользователя.

4.23, Аноним (26), 11:46, 20/09/2024 [^] [^^] [^^^] [ответить]	+/–
Вот с этого места подробнее.. Вот в буфере обмена сидит "format c:", почему при нажатии Enter в бровзере происходит выполнение команды?

5.24, Аноним (26), 11:50, 20/09/2024 [^] [^^] [^^^] [ответить]	+2 +/–
Теперь понял, Windows + R открывает окно запуска команды! ЯСНОПОНЯТНО!

3.27, Аноним (27), 12:05, 20/09/2024 [^] [^^] [^^^] [ответить]

+/–

> Вроде бы Ctrl+V читает из буфера обмена, а написано что копипуется:
>> При нажатии кнопки согласия в буфер обмена копируется команда для загрузки и запуска вредоносного приложения при помощи PowerShell

Написано "при нажатии кнопки", а не при нажатии "Ctrl+V". К кнопке на первом экране привязывается вызов JavaScript-метода Clipboard.writeText(), который без явного действия пользователя не вызвать, для этого и нужен первый экран с кнопкой "я не робот". А уже потом "Windows+R", "Ctrl+V" и Enter

1.17, Массоны Рептилоиды (?), 11:13, 20/09/2024 [ответить] [﹢﹢﹢] [ · · · ]	+9 +/–
Здравствуйте, я - молдавский вирус. В виду бедности моего создателя и общей отсталости развития высоких технологий нашей страны, я не в силах причинить какой-либо вред вашему компьютеру. Пожалуйста, сотрите сами несколько самых нужных вам файлов, а затем разошлите меня по почте своим друзьям. Благодарю за понимание и сотрудничество.

2.57, Аноним (-), 17:16, 20/09/2024 Скрыто ботом-модератором [к модератору]	+1 +/–

3.60, Аноним (60), 18:17, 20/09/2024 Скрыто ботом-модератором [к модератору]	+/–

....ответы скрыты (2)

1.28, Аноним (26), 12:11, 20/09/2024 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
> в буфер обмена копируется Это нормально что бровзеру такое позволяется?

2.29, Аноним (31), 12:16, 20/09/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Раньше для такого нужен был флеш. А потом смузики из html5 сделали красиво. Заодно сделав движок неподъемным.

3.38, нах. (?), 12:39, 20/09/2024 [^] [^^] [^^^] [ответить]

+2 +/–

> Раньше для такого нужен был флеш.

которому для доступа к клипборду нужно было персональное для этого вот сайта разрешение.

Поэтому он был небезопастный и его надо было запритить всем!

1.34, Аноним (-), 12:31, 20/09/2024 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
>Рассылка нацелена на стимулирование сопровождающих и разработчиков, пользующихся платформой Windows Дальше можно не читать.

2.52, randomize (?), 15:44, 20/09/2024 [^] [^^] [^^^] [ответить]	+/–
У пользователей Windows и так уже все, что нужно, простимулировано.

2.73, Аноним (73), 23:43, 20/09/2024 [^] [^^] [^^^] [ответить]	+/–
Ты не переживай, в ненужном на десктопе это не хуже работает. Просто спалиться пока не успели.

1.42, Аноним (42), 13:03, 20/09/2024 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
а че программную эмуляцию нажатия клавиш не занесли в браузеры? зачем же так мучать пользователя?

1.44, Аноним (46), 13:12, 20/09/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>вместо описания сути уязвимости, добавляют текст, стилизованный под предупреждение от команды "Github Security Team". никогда такого не было, и вот опять! Это что же за уровень разработчиков то теперь? (и тех, кто пишет данную платфору, позволяющую проделывать такие нелепые действия, и тех, кто этим поделием пользуется) Они совсем уже умственно отсталых привлекать начали?

1.47, Аноним (46), 13:26, 20/09/2024 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Так ведь по умолчанию исполнение кодов на "помершел" в целевой ОС запрещено же! Нужно это или обходить одним из 15 способов, или явно разрешать в виндовых полиси. Напоминает писаные на визуалбасике вирусы под Win95, которые для запуска требовали еще и движ загрузить для их исполнения.

2.49, нах. (?), 14:05, 20/09/2024 [^] [^^] [^^^] [ответить]

+1 +/–

> Так ведь по умолчанию исполнение кодов на "помершел" в целевой ОС запрещено
> же!

В смысле? Там же ж команда, вручную вводимая. А не неподписанный модуль от васяна.

3.62, Аноним (62), 18:53, 20/09/2024 [^] [^^] [^^^] [ответить]	+/–
Что вы оба такое несёте?

1.58, Аноним (-), 17:55, 20/09/2024 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
> нажать сочетания клавиш "Windows+R", "Ctrl+V" и Enter. Здравствуйте, я чукотский вирус! В силу плохого развития айти в стране я не могу сам причинить вам вред! Пожалуйста сотрите ваши файлы и перешлите меня дальше!

1.76, onanim (?), 09:24, 21/09/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
ничего смешного нет, вы-то уверенные пользователи ПК и иногда даже системные администраторы, но помимо вас гитхабом пользуются программисты, тестировщики, и прочие сотрудники техподдержки, которые совершенно не обязаны знать все эти тонкости про Ctrl+V. сам Линус как-то раз говорил, что не умеет устанавливать линукс, для него это очень сложно.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: