I ricercatori di sicurezza hanno individuato una nuova tecnica di diffusione malware tramite post apparentemente legittimi pubblicati nei commenti relativi a progetti GitHub. Questi commenti contengono soluzioni a problematiche comuni e invitano le vittime a scaricare un archivio protetto da password tramite servizi di URL shortening e cloud sharing gratuiti, come bit.ly e mediafire.com.
Seguendo il link, l’utente viene indirizzato a una pagina di download per un file chiamato “fix.zip”, contenente diverse DLL e un eseguibile denominato “x86_64-w64-ranlib.exe”. Secondo le analisi, il malware diffuso è LummaC2, un infostealer scritto in C++ con le seguenti caratteristiche:
- si esegue con il nome “tmp.exe”
- ruba informazioni sensibili, tra cui password, cookie, cronologia web, carte di credito, cripto wallet;
- esfiltra i dati raccolti verso il server di comando e controllo sotto forma file zip.
Per proteggersi da questi attacchi, il CSIRT Italia invita gli utenti e le organizzazioni a verificare accuratamente le comunicazioni ricevute, diffidare di software non firmato o di dubbia provenienza e di comunicazioni provenienti da utenti sconosciuti.
