In queste ore, molti utenti della piattaforma GitHub stanno ricevendo un’email ingannevole con il titolo “IMPORTANT! Security Vulnerability Detected in your Repository (Issue #1)”. Questa comunicazione, apparentemente provenienti dal GitHub Security Team, avverte i destinatari di una presunta vulnerabilità nei loro repository e li esortano a cliccare su un link sospetto per risolvere il problema.

Il CERT-AgID ha emesso un avviso ufficiale per mettere in guardia gli utenti di questa campagna malevola finalizzata alla distribuzione del malware Lumma Stealer, progettato per sottrarre dati sensibili, come credenziali di accesso e informazioni personali. Il dominio utilizzato per diffondere il malware, github-scanner[.com], è stato registrato solo il 18 settembre scorso.

Cliccando sul link contenuto nel messaggio, gli utenti visualizzano un avviso ingannevole che invita a compiere tre operazioni: premere Windows+R, poi Ctrl+V e infine Enter per dimostrare di non essere un bot. Questa combinazione di tasti viene utilizzata per eseguire il codice malevolo (powershell), nascosto dietro un falso sistema di verifica CAPTCHA.

Il codice PowerShell viene eseguito avviando il download e l’esecuzione di un eseguibile chiamato l6E.exe, che sul sistema della vittima viene rinominato in SysSetup.exe. Questo file esegue Lumma Stealer, il quale cerca di connettersi a server di comando e controllo (C2) per rubare dati. Se la connessione ai server C2 non riesce, il malware tenta di estrarre informazioni da profili di Steam Community, un comportamento già osservato con il malware Vidar lo scorso anno, ma in questo caso le url dei C2 sono riportati in forma cifrata.

Al fine di rendere pubblici i dettagli per il contrasto di questa campagna, il CERT-AGID ha condiviso gli indicatori di compromissione (IoC), disponibili attraverso il suo Feed IoC destinato alle pubbliche amministrazioni. Gli utenti e gli amministratori di sistemi sono esortati a essere particolarmente vigili e a non eseguire operazioni sospette richieste da email inaspettate.

https://cert-agid.gov.it/news/lumma-stealer-diffuso-tramite-notifica-di-falsa-vulnerabilita-di-sicurezza-sul-proprio-progetto-github/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE