Descrizione e potenziali impatti
Ricercatori di sicurezza hanno osservato una nuova tecnica di diffusione malware attraverso post opportunamente predisposti e apparentemente legittimi, pubblicati nei commenti di progetti GitHub.
Tali commenti riporterebbero soluzioni a problematiche, esortando la potenziale vittima a scaricare un archivio protetto da password, utilizzando servizi di URL shortening e cloud sharing gratuiti – quali bit.ly e mediafire.com. (Figura1) (Figura 2).
Nel dettaglio, dando seguito al link proposto, si accede ad una pagina di download di un archivio “fix.zip”, che contiene alcune DLL e un eseguibile, “x86_64-w64-ranlib.exe” (Figura 3).
In base alle analisi svolte dai ricercatori di sicurezza, si evidenzia che il malware in questione risulterebbe essere l’infostealer LummaC2, scritto nel linguaggio C++, avente le seguenti peculiarità:
- essere eseguito con il nome “tmp.exe”
- carpire informazioni sensibili, quali password, cookie, cronologia web, carte di credito, cripto wallet;
- esfiltrare i dati collezionati verso il server di comando e controllo come file zip.
Azioni di mitigazione
Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le comunicazioni ricevute e attivando le seguenti misure aggiuntive:
- prestare attenzione a non prelevare ed eseguire software di dubbia provenienza e non firmati;
- diffidare da comunicazioni provenienti da utenti sconosciuti.
Riferimenti