Предыдущая публикация
Хакеры используют комментарии на GitHub для распространения вредоносного ПО
Эксперты информационной безопасности сообщили, что неизвестные хакеры начали активно использовать форму комментариев на платформе GitHub для распространения вредоносного программного обеспечения под названием Lumma Stealer. Этот вредонос является инфостилером, который нацелен преимущественно на кражу с пользовательского устройства различных учётных данных и другой конфиденциальной информации после внедрения.
По словам специалистов по кибербезопасности, злоумышленники размещают ссылки на вредоносные программы в комментариях под проектами, под видом поддельных исправлений.
О этой киберпреступной активности впервые сообщил участник библиотеки Teloxide на языке Rust, который отметил на Reddit, что получил пять разных комментариев в своих записях на GitHub, выдававшихся за исправления, но на самом деле распространявших вредоносное ПО. Дальнейший анализ, проведённый аналитиками, позволил обнаружить тысячи похожих комментариев, опубликованных в самых разных проектах на GitHub, и все они предлагали фейковые решения для вопросов других людей.
Оставленные хакерами комментарии предлагают пользователям загрузить защищённый паролем архив с mediafire.com или через URL bit.ly и запустить исполняемый файл внутри него. В выявленной кампании пароль был «changeme» во всех комментариях, которые видели эксперты.
Специалист по обратной разработке Николас Шерлок сообщил изданию BleepingComputer, что за последние три дня на платформе GitHub было опубликовано более 29 000 комментариев, продвигающих вредоносную программу.
При нажатии на ссылку посетители попадают на страницу загрузки файла под названием «fix.zip», который содержит несколько файлов DLL и исполняемый файл с именем x86_64-w64-ranlib.exe.
Запуск исполняемого файла на Any.Run указывает на то, что это вредоносная программа Lumma Stealer, крадущая информацию.
Lumma Stealer — это инфостилер, который при запуске пытается украсть файлы cookie, учётные данные, пароли, данные кредитных карт и историю просмотров из Google Chrome, Microsoft Edge, Mozilla Firefox и других браузеров на базе Chromium.
Источник
По словам специалистов по кибербезопасности, злоумышленники размещают ссылки на вредоносные программы в комментариях под проектами, под видом поддельных исправлений.
О этой киберпреступной активности впервые сообщил участник библиотеки Teloxide на языке Rust, который отметил на Reddit, что получил пять разных комментариев в своих записях на GitHub, выдававшихся за исправления, но на самом деле распространявших вредоносное ПО. Дальнейший анализ, проведённый аналитиками, позволил обнаружить тысячи похожих комментариев, опубликованных в самых разных проектах на GitHub, и все они предлагали фейковые решения для вопросов других людей.
Оставленные хакерами комментарии предлагают пользователям загрузить защищённый паролем архив с mediafire.com или через URL bit.ly и запустить исполняемый файл внутри него. В выявленной кампании пароль был «changeme» во всех комментариях, которые видели эксперты.
Специалист по обратной разработке Николас Шерлок сообщил изданию BleepingComputer, что за последние три дня на платформе GitHub было опубликовано более 29 000 комментариев, продвигающих вредоносную программу.
При нажатии на ссылку посетители попадают на страницу загрузки файла под названием «fix.zip», который содержит несколько файлов DLL и исполняемый файл с именем x86_64-w64-ranlib.exe.
Запуск исполняемого файла на Any.Run указывает на то, что это вредоносная программа Lumma Stealer, крадущая информацию.
Lumma Stealer — это инфостилер, который при запуске пытается украсть файлы cookie, учётные данные, пароли, данные кредитных карт и историю просмотров из Google Chrome, Microsoft Edge, Mozilla Firefox и других браузеров на базе Chromium.
Источник
Следующая публикация
Нет комментариев