Descrizione e potenziali impatti

Ricercatori di sicurezza hanno osservato una nuova tecnica di diffusione malware attraverso post opportunamente predisposti e apparentemente legittimi, pubblicati nei commenti di progetti GitHub.

Tali commenti riporterebbero soluzioni a problematiche, esortando la potenziale vittima a scaricare un archivio protetto da password, utilizzando servizi di URL shortening e cloud sharing gratuiti – quali bit.ly e mediafire.com. (Figura1) (Figura 2).

Nel dettaglio, dando seguito al link proposto, si accede ad una pagina di download di un archivio “fix.zip”, che contiene alcune DLL e un eseguibile, “x86_64-w64-ranlib.exe” (Figura 3).

In base alle analisi svolte dai ricercatori di sicurezza, si evidenzia che il malware in questione risulterebbe essere l’infostealer LummaC2, scritto nel linguaggio C++, avente le seguenti peculiarità:

• essere eseguito con il nome “tmp.exe”
• carpire informazioni sensibili, quali password, cookie, cronologia web, carte di credito, cripto wallet;
• esfiltrare i dati collezionati verso il server di comando e controllo come file zip.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le comunicazioni ricevute e attivando le seguenti misure aggiuntive:

• prestare attenzione a non prelevare ed eseguire software di dubbia provenienza e non firmati;
• diffidare da comunicazioni provenienti da utenti sconosciuti.

Riferimenti

https://www.reddit.com/r/Malware/comments/1f2n1h4/psa_lummac2_trojan_stealer_spreading_on_github/