Descripción e impactos potenciales
Los investigadores de seguridad han observado una nueva técnica de propagación de malware a través de publicaciones cuidadosamente elaboradas y aparentemente legítimas publicadas en los comentarios de proyectos de GitHub.
Dichos comentarios informarían sobre soluciones a problemas, instando a la víctima potencial a descargar un archivo protegido con contraseña, utilizando servicios gratuitos de acortamiento de URL y de uso compartido en la nube, como bit.ly y mediafire.com. (Figura 1) (Figura 2).
En detalle, siguiendo el enlace propuesto, se accede a una página de descarga de un archivo «fix.zip», que contiene algunas DLL y un ejecutable, «x86_64-w64-ranlib.exe» (Figura 3).
Según los análisis realizados por los investigadores de seguridad, se destaca que el malware en cuestión parece ser el ladrón de información LummaC2, escrito en lenguaje C++, que tiene las siguientes peculiaridades:
- ejecutarse con el nombre “tmp.exe”
- robar información confidencial, como contraseñas, cookies, historial web, tarjetas de crédito, billeteras criptográficas;
- Exfiltre los datos recopilados al servidor de comando y control como un archivo zip.
Acciones de mitigación
Los usuarios y organizaciones pueden hacer frente a este tipo de ataques verificando cuidadosamente las comunicaciones recibidas y activando las siguientes medidas adicionales:
- tenga cuidado de no descargar ni ejecutar software de origen dudoso y no firmado;
- Tenga cuidado con las comunicaciones de usuarios desconocidos.
Referencias
