Description et impacts potentiels
Les chercheurs en sécurité ont observé une nouvelle technique de propagation de logiciels malveillants à travers des messages soigneusement rédigés et apparemment légitimes publiés dans les commentaires des projets GitHub.
De tels commentaires signaleraient des solutions aux problèmes, invitant la victime potentielle à télécharger une archive protégée par mot de passe, en utilisant des services gratuits de raccourcissement d’URL et de partage dans le cloud, tels que bit.ly et mediafire.com. (Figure 1) (Figure 2).
Dans le détail, en suivant le lien proposé, vous accédez à une page de téléchargement d’une archive « fix.zip », qui contient quelques DLL et un exécutable, « x86_64-w64-ranlib.exe » (Figure 3).
Sur la base des analyses effectuées par les chercheurs en sécurité, il est mis en évidence que le malware en question semble être le infostealer LummaC2, écrit en langage C++, présentant les particularités suivantes :
- être exécuté avec le nom «tmp.exe»
- voler des informations sensibles, telles que des mots de passe, des cookies, un historique Web, des cartes de crédit, des portefeuilles cryptographiques ;
- exfiltrez les données collectées vers le serveur de commande et de contrôle sous forme de fichier zip.
Mesures d’atténuation
Les utilisateurs et les organisations peuvent faire face à ce type d’attaque en vérifiant soigneusement les communications reçues et en activant les mesures supplémentaires suivantes :
- veillez à ne pas télécharger et exécuter des logiciels d’origine douteuse et non signés ;
- méfiez-vous des communications d’utilisateurs inconnus.
Références