GitHub, proje yorumlarında yayınlanan sahte düzeltmeler olarak Lumma Stealer bilgi çalma kötü amaçlı yazılımlarını dağıtmak için istismar ediliyor.
Kampanya ilk olarak Reddit'te Github sorunlarında düzeltme gibi davranan ancak bunun yerine kötü amaçlı yazılımları zorlayan beş farklı yorum aldıklarını belirten teloksit pas kütüphanesine katkıda bulundu.
BleepingComputer'ın daha fazla incelemesi, GitHub'daki çok çeşitli projelere yayınlanan binlerce benzer yorum buldu ve hepsi diğer insanların sorularına sahte düzeltmeler sundu.
Çözüm, insanlara mediafire.com'dan veya biraz URL üzerinden şifre korumalı bir arşiv indirmelerini söyler. Mevcut kampanyada, gördüğümüz tüm yorumlarda şifre "Changeme" olmuştur.
Ters mühendis Nicholas Sherlock, BleepingComputer'a bu kötü amaçlı yazılımı iten 29.000'den fazla yorumun 3 günlük bir süre boyunca yayınlandığını söyledi.
Bağlantıya tıklamak, birkaç DLL dosyası ve x86_64-w64-ranlib.exe adlı bir yürütülebilir dosyayı içeren 'Fix.zip' adlı bir dosya için ziyaretçileri bir indirme sayfasına getirir.
Yürütülebilir dosyayı herhangi birinde çalıştırmak.
Lumma Stealer, yürütüldüğünde, Google Chrome, Microsoft Edge, Mozilla Firefox ve diğer krom tarayıcılarından çerezleri, kimlik bilgilerini, şifreleri, kredi kartlarını ve tarama geçmişini çalmaya çalışan gelişmiş bir bilgi samancısıdır.
Kötü amaçlı yazılım, tohum.txt, pass.txt, Ledger.txt, trezor.txt, metamask.txt, bitcoin.txt, word, cüzdan.txt, *.txt gibi adlarla kripto para cüzdanları, özel anahtarlar ve metin dosyalarını çalabilir. ve *.pdf, çünkü bunların özel kripto anahtarları ve şifreleri içermesi muhtemeldir.
Bu veriler bir arşive toplanır ve bilgileri daha fazla saldırıda kullanabilecekleri veya siber suç pazarlarında satabilecekleri saldırgana geri gönderilir.
Github personeli bu yorumları tespit edildikçe silerken, insanlar saldırıya düştüğünü zaten bildirmişlerdir.
Kötü amaçlı yazılımları çalıştıranlar için, her site için benzersiz bir şifre kullanarak tüm hesaplarınızdaki şifreleri değiştirmeli ve kripto para birimini yeni bir cüzdana taşımalısınız.
Geçen ay, Check Point Research, GitHub'daki 3.000'den fazla sahte hesaptan bilgi çalma kötü amaçlı yazılımları zorlamak için Hizmet Olarak Kötü Yazılım Dağıtım (DAAS) oluşturan Stargazer Goblin Tehdit Oyuncuları tarafından benzer bir kampanyayı açıkladı.
Bunun aynı kampanya mı yoksa farklı tehdit aktörleri tarafından yürütülen yeni bir kampanya mı olduğu belirsizdir.
Stackexchange, kötü niyetli PYPI paketlerini cevap olarak yaymak için istismar edildi
Kötü amaçlı yazılım dağıtım hizmeti tarafından kullanılan 3.000'den fazla GitHub hesabı
Windows Masaüstü Temaları için Facebook Reklamları Push Info-Renting kötü amaçlı yazılım
Vipersoftx kötü amaçlı yazılım, otomatik komut dosyası kullanarak PowerShell'i çalıştırıyor
Yeni Voldemort kötü amaçlı yazılım, çalıntı verileri depolamak için Google sayfalarını kötüye kullanıyor
Kaynak: Bleeping Computer