03/09/24
GitHub используется для распространения стилера Lumma Stealer под видом поддельных исправлений, размещенных в комментариях к проекту, пишет Securitylab.
О кампании сообщил один из участников библиотеки teloxide . В обсуждениях GitHub-проекта разработчика появились 5 комментариев, которые выдавались за исправления, но на самом деле распространяли вредоносное ПО, пишет.
Дополнительный анализ показал, что аналогичные комментарии были оставлены в тысячах других проектов на GitHub. Во всех комментариях содержались «решения» проблем, предлагающие пользователям загрузить защищённый паролем архив с сайта «mediafire.com» или по короткой ссылке «bit.ly» и запустить находящийся в архиве исполняемый файл. Во всех случаях пароль для архива был одинаковый — «changeme».
Как сообщил реверс-инженер Николас Шерлок, за 3 дня было размещено более 29 000 комментариев с вредоносными ссылками. При переходе по ссылке пользователи попадали на страницу загрузки файла «fix.zip», в котором содержалось несколько DLL-библиотек и исполняемый файл «x86_64-w64-ranlib.exe». Запуск исполняемого файла на Any.Run привел к активации вредоносного ПО Lumma Stealer.
Lumma Stealer представляет собой продвинутый инфостилер, который после запуска пытается похитить куки, учётные данные, пароли, данные кредитных карт и историю браузера из Google Chrome, Microsoft Edge, Mozilla Firefox и других браузеров на базе Chromium.
Кроме того, вредоносное ПО способно похищать криптовалютные кошельки, приватные ключи и текстовые файлы с именами вроде seed.txt, pass.txt, ledger.txt, trezor.txt, metamask.txt, bitcoin.txt, words, wallet.txt, а также файлы с расширениями .txt и .pdf, так как они могут содержать приватные ключи и пароли. Собранные данные архивируются и отправляются злоумышленникам, которые могут использовать их для дальнейших атак или продать на киберпреступных рынках.
