Хакеры используют комментарии GitHub для распространения вредоноса Lumma Stealer

Появилась информация о том, что GitHub используется для распространения вредоносного ПО Lumma Stealer, крадущего информацию, в качестве поддельных исправлений, размещённых в комментариях к проекту.

Впервые о кампании сообщил участник библиотеки teloxide rust, который отметил на Reddit, что получил пять разных комментариев в своих проблемах GitHub, выдающих себя за исправления, но на самом деле продвигали вредоносное ПО.

Дальнейший обзор портала BleepingComputer обнаружил тысячи похожих комментариев, размещённых в широком спектре проектов на GitHub, все из которых предлагали поддельные исправления для вопросов других людей.

Решение предлагает людям загрузить защищённый паролем архив с mediafire.com или через URL bit.ly и запустить исполняемый файл в нём. В текущей кампании пароль был «changeme» ​​во всех комментариях.

Специалист по обратной разработке Николас Шерлок сообщил, что за 3 дня было опубликовано более 29 000 комментариев, продвигающих это вредоносное ПО.

Нажатие на ссылку перенаправляет посетителей на страницу загрузки файла под названием «fix.zip», который содержит несколько файлов DLL и исполняемый файл с именем x86_64-w64-ranlib.exe.

Запуск исполняемого файла на Any.Run указывает на то, что это вредоносная программа Lumma Stealer, крадущая информацию.

Lumma Stealer – это продвинутая программа для кражи информации, которая при запуске пытается украсть файлы cookie, учётные данные, пароли, кредитные карты и историю просмотров из Google Chrome, Microsoft Edge, Mozilla Firefox и других браузеров Chromium.

Вредоносная программа также может красть криптовалютные кошельки, закрытые ключи и текстовые файлы с такими именами, как seed.txt, pass.txt, ledger.txt, trezor.txt, metamask.txt, bitcoin.txt, words, wallet.txt, *.txt и *.pdf, поскольку они, скорее всего, содержат закрытые криптоключи и пароли.

Эти данные собираются в архив и отправляются обратно злоумышленнику, где он может использовать информацию в дальнейших атаках или продать её на рынках киберпреступности.

Хотя сотрудники GitHub удаляли эти комментарии по мере их обнаружения, люди уже сообщали о том, что попались на эту атаку. Тем, кто запустил вредоносное ПО, необходимо сменить пароли во всех своих учётных записях, используя уникальный пароль для каждого сайта, и перенести криптовалюту на новый кошелёк.

Добавлено: 1-09-2024, 13:20
0
286
Поделиться:

Подписывайтесь на «Umteh.com» в Новостях и Telegram.

Новости партнеров

Новости СМИ2

Похожие публикации


Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Наверх