Malware-t terjesztenek a csalók a GitHub kommentszekcióiban

A GitHub-on terjesztik a Lumma Stealer információlopó malwaret azáltal, hogy a megjegyzésekben a felhasználók kérdéseire hamis választ adnak.

Azt javasolják a kommentekben a felhasználóknak, hogy töltsenek le egy jelszóval védett archívumot a mediafire.com webhelyről vagy egy bit.ly címről, majd pedig futtassák le a benne lévő fájlt.

1. ábra Egy GitHub problémára adott hamis válasz, forrás: Andrey Brusnik

 

A linkre kattintva a felhasználók egy “fix.zip” nevű fájl letöltési oldalára jutnak, amely néhány DLL fájlt és egy x86_64-w64-ranlib.exe nevű futtatható fájlt tartalmaz.

2. ábra A Lumma Stealer telepítőjét tartalmazó archívum, forrás: BleepingComputer

 

Miután a fájl lefuttatásra került az Any.Run oldalon, azt jelzi, hogy ez a Lumma Stealer információlopó malware. Cookie-kat, hitelesítő adatokat, jelszavakat, hitelkártya adatokat és böngészési előzményeket próbál ellopni a Google Chrome, a Microsoft Edge, a Mozilla Firefox és más Chromium böngészőkből.

A kártevő kriptovalutatárca fájlokat, privát kulcsokat és olyan nevű szöveges fájlokat is ellophat, mint például seed.txt, pass.txt, ledger.txt, trezor.txt, metamask.txt, bitcoin.txt, wallet.txt, mivel ezek valószínűleg privát kulcsokat és jelszavakat tartalmaznak.

Ezek az adatok először egy archívumba kerülnek, majd miután a támadók megkapták őket, a megszerzett információkat további támadásoknál is felhasználhatják vagy eladhatják különböző kiberbűnözői piactereken.

A GitHub munkatársai már törölték ezeket a megjegyzéseket, viszont azoknak a felhasználóknak, akik már futtaták ezt a malwaret, meg kell változtatniuk a jelszavaikat a fiókjaiknál úgy, hogy minden webhelyen egyedi jelszót használjanak, illetve a kriptovalutáikat is tanácsos új tárcába helyezni.

(bleepingcomputer.com)