Neue Malware-Verbreitungstechnik über GitHub entdeckt

Sicherheitsforscher beobachteten eine neue Technik zur Verbreitung von Malware durch entsprechend vorbereitete und scheinbar legitime Beiträge in den Kommentaren von GitHub-Projekten.

In solchen Kommentaren werden Lösungen für Probleme gemeldet und das potenzielle Opfer aufgefordert, ein passwortgeschütztes Archiv herunterzuladen, das kostenlose URL-Verkürzungs- und Cloud-Sharing-Dienste wie bit.ly und mediafire.com nutzt.

Folgt man dem vorgeschlagenen Link, gelangt man auf eine Download-Seite des Archivs "fix.zip", das einige DLLs und die ausführbare Datei "x86_64-w64-ranlib.exe" enthält. Die von den Sicherheitsforschern durchgeführten Analysen haben ergeben, dass es sich bei der fraglichen Malware um den InfostealerLummaC2 handelt, der in der Sprache C++ geschrieben ist und die folgenden Besonderheiten aufweist

• Er wird unter dem Namen "tmp.exe" ausgeführt
• Ergreifung sensibler Informationen, wie Passwörter, Cookies, Web-Verlauf, Kreditkarten, Krypto-Wallets
• Exfiltrieren der gesammelten Daten zum Command-and-Control-Server in Form einer Zip-Datei.

Abhilfemaßnahmen

Benutzer und Organisationen können diese Art von Angriffen abwehren, indem sie die erhaltenen Mitteilungen sorgfältig überprüfen und die folgenden zusätzlichen Maßnahmen ergreifen

• Achten Sie darauf, dass Sie keine dubiose und unsignierte Software herunterladen und ausführen;
• Seien Sie misstrauisch gegenüber Mitteilungen von unbekannten Benutzern.

Referenzen

https://www.reddit.com/r/Malware/comments/1f2n1h4/psa_lummac2_trojan_stealer_spreading_on_github/

SOC