НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН, РАСПРОСТРАНЕН И (ИЛИ) НАПРАВЛЕН ИНОСТРАННЫМ АГЕНТОМ «РОСКОМСВОБОДА» ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА «РОСКОМСВОБОДА». 18+
С помощью легитимных уведомлений они распространяют вредоносное ПО, манипулируя разработчиками. Уведомления выглядят правдоподобно, что делает их особо опасными.
Распространители вредоносного ПО начали применять новый способ отправки вредоносных писем от имени команды, занимающейся обеспечением безопасности в GitHub. Этот метод основан на использовании легитимных почтовых серверов платформы для отправки писем, маскирующихся под уведомления от команды безопасности. Нацелившись на разработчиков и сопровождающих проекты на платформе, злоумышленники пытаются внедрить вредоносное ПО в их системы.
Механизм атаки начинается с того, что хакеры создают сообщение в разделе issues атакуемого проекта на GitHub, добавляя текст, стилизованный под сообщение от Github Security Team. Сразу после создания сообщение удаляется, но уведомление о нём автоматически отправляется разработчику проекта по электронной почте. Эти уведомления выглядят так же, как официальные сообщения GitHub, что делает их особенно опасными.
В тексте письма предлагается перейти на поддельный сайт для получения дополнительной информации. На этом сайте пользователю предлагают пройти проверку, якобы подтверждающую, что он не робот, с просьбой нажать сочетания клавиш для выполнения определенной команды на его системе. При выполнении этих действий загружается и запускается вредоносное ПО под названием LUMMASTEALER, которое крадёт конфиденциальные данные пользователей — такие как ключи доступа, криптовалютные кошельки, пароли и сессионные данные из браузеров.
GitHub-уведомления играют ключевую роль в этой атаке. Из-за того, что сообщения приходят с реальных серверов, они успешно обходят многие системы проверки на фишинг. Злоумышленники манипулируют содержимым писем, чтобы создать иллюзию официального запроса, что заставляет многих разработчиков следовать инструкциям и случайно заражать свои системы.
Проблема также кроется в том, как GitHub формирует свои уведомления. В письмах недостаточно информации, чтобы дать получателям чёткое представление о том, что именно происходит. Это позволяет хакерам установить собственный контекст для сообщения, что существенно усложняет распознавание фишинга. GitHub уже получил отчёты об этом методе атаки, и существуют предложения по улучшению их системы уведомлений, чтобы снизить вероятность подобных инцидентов.
Вторая часть атаки включает поддельный сайт с проверкой капчи. Вместо привычного выбора изображений или выполнения других стандартных задач, пользователю предлагают выполнить команду через окно Windows Run, что в конечном итоге запускает вредоносный софт. Это ПО скачивает файл, маскирующийся под системное приложение, которое затем запускается на компьютере жертвы.