Ataque de phishing a gran escala contra usuarios de GitHub / Sudo Null IT News
Un evento importante de la semana pasada fue un intento a gran escala de robar datos de los usuarios del servicio GitHub (
en el sitio web de BleepingComputer,
noticias
sobre Habré). Los atacantes utilizaron la funcionalidad estándar del repositorio y abrieron una nueva entrada en la sección Problemas. Como resultado, los propietarios del repositorio recibieron la siguiente notificación por correo electrónico:
Después de hacer clic en un enlace a un sitio de terceros desaparecido, se le pedía al usuario que “verificara que no es un robot”. Y luego vino el ingenioso descubrimiento de los atacantes: para la “verificación”, se propuso abrir el menú de ejecución de comandos en Windows usando la combinación de teclas Win+R y pegar allí un fragmento de código previamente colocado en el portapapeles. Este código abrió la consola PowerShell, descargó y ejecutó el archivo malicioso. Si cree que un ataque tan sencillo no afectará a los desarrolladores, existe al menos un argumento por el que debería tener cuidado con este tipo de “malware manual”.
Así es como se veía el problema que los atacantes enviaron desde cuentas desechables en GitHub:
Por el momento, todos esos comentarios se han eliminado de los repositorios. Pero enviar un informe de error provocó el envío de una notificación completamente legítima desde GitHub, como en la captura de pantalla al comienzo del artículo. Es poco probable que un usuario con conocimientos técnicos reaccione ante semejante provocación y ejecute con sus propias manos un código incomprensible en su PC. Pero no olvide que los ejecutivos no tecnológicos o incluso los contratistas también pueden suscribirse a la lista de correo de GitHub, y un truco similar puede funcionar con ellos.
Así es como se ve la “verificación” del usuario. Si observa el código del sitio, puede ver cómo se copia el script en el portapapeles:
El script inicia la descarga y ejecución del programa malicioso, y aquí el usuario deberá confirmar una vez más el inicio del archivo incomprensible:
Según BleepingComputer, el programa malicioso es el ladrón de información Lumma Stealer, que se generalizó en 2023 (puedes leer más al respecto Aquí). El objetivo de los atacantes es robar contraseñas guardadas y sesiones de navegador. Este incidente local es una ocasión para volver a discutir el enfoque de “no me afectará”. En primer lugar, hay muchos ejemplos en los que incluso usuarios experimentados han sido víctimas de este tipo de ataques. En segundo lugar, como se mencionó anteriormente, el ataque también puede afectar a otros empleados de su organización. En tercer lugar, este no es ni mucho menos el único ataque de este tipo. Hace menos de un mes reportado sobre una táctica de ataque alternativa en GitHub: se enviaron enlaces a códigos maliciosos bajo la apariencia de parches a repositorios públicos. Y este truco era, por decirlo suavemente, incluso más sencillo: se pedía a la víctima que descargara un archivo protegido con contraseña, lo descomprimiera y ejecutara el programa malicioso. Los atacantes prueban constantemente nuevos métodos de ingeniería social, envían mensajes por decenas y cientos de miles, esperando razonablemente que tarde o temprano el próximo truco funcione.
¿Qué más pasó?
La semana pasada los especialistas de Kaspersky Lab publicaron tres estudios. Este análisis actividades del grupo de los Doce. Estudiar El malware Unicorn utilizado para robar datos. Y analizando Troyano de acceso remoto SambaSpy que ataca a usuarios en Francia e Italia.
Vulnerabilidades críticas descubierto en enrutadores D-Link. Uno de los problemas le permite abrir el acceso remoto a través de Telnet e iniciar sesión con una contraseña codificada. Los modelos de dispositivos COVR-X1870, DIR-X5460 y DIR-X4860 se ven afectados.
En el mercado negro vender Datos de usuario del mercado Temu. La propia empresa, sin embargo, niega que los datos sean reales.
Los investigadores de BINARLY han publicado suma al estudio PKfail publicado en julio (escribimos sobre ello aquí). Recordemos que estamos hablando de utilizar claves privadas idénticas en la implementación de UEFI Secure Boot. Estas claves de “prueba” se encontraron en una variedad de placas base, computadoras portátiles y servidores de varios fabricantes, y una de las claves definitivamente se liberó debido a un error del proveedor. En verano, la empresa BINARLY lanzó un servicio público para comprobar el firmware UEFI en busca de claves de prueba, que en el peor de los casos pueden utilizarse para comprometer completamente el sistema. Entre más de 10.000 firmware descargados, el 8,5% tenía claves de prueba integradas. Algunas de las claves eran previamente desconocidas, lo que nos permitió ampliar la lista de dispositivos afectados. Entre ellos, por ejemplo, se encontraban los populares ordenadores de placa única Odroid, así como los miniordenadores Beelink Mini 12 Pro y Minisforum HX99G.
En la última versión del sistema operativo iOS 18 cerrado 33 vulnerabilidades. En teoría, uno de los errores permitía el acceso a datos privados en un teléfono bloqueado usando Siri.
