GitHub, proje yorumlarında yayınlanan sahte düzeltmeler şeklinde Lumma Stealer bilgi çalma zararlı yazılımını dağıtmak için kötüye kullanılıyor.
Kampanya ilk olarak teloxide rust kütüphanesine katkıda bulunan bir kişi tarafından bildirildi. Bu kişi, Reddit’te GitHub sorunlarında düzeltme gibi görünen ancak aslında kötü amaçlı yazılımlar yükleyen beş farklı yorum aldığını belirtti.
BleepingComputer tarafından yapılan daha detaylı incelemede, GitHub’daki çok çeşitli projelere gönderilen binlerce benzer yorum bulundu; bunların hepsi, diğer kişilerin sorularına sahte düzeltmeler sunuyordu.
Çözüm, insanlara mediafire.com’dan veya bit.ly URL’si üzerinden parola korumalı bir arşiv indirmelerini ve yürütülebilir dosyayı içinde çalıştırmalarını söyler. Mevcut kampanyada, gördüğümüz tüm yorumlarda parola “changeme” olmuştur.
Tersine mühendis Nicholas Sherlock, BleepingComputer’a bu kötü amaçlı yazılımı iten 3 günlük bir süre içerisinde 29.000’den fazla yorumun yayınlandığını söyledi.
Kaynak: Andrey Brusnik
Bağlantıya tıkladığınızda ‘fix.zip’ adlı dosyanın indirme sayfasına yönlendiriliyorsunuz. Bu dosyada birkaç DLL dosyası ve x86_64-w64-ranlib.exe adlı bir çalıştırılabilir dosya bulunuyor.
Kaynak: BleepingComputer
Yürütülebilir dosyayı Any.Run üzerinde çalıştırmak, bunun Lumma Stealer bilgi çalan kötü amaçlı yazılım olduğunu gösteriyor.
Lumma Stealer, çalıştırıldığında Google Chrome, Microsoft Edge, Mozilla Firefox ve diğer Chromium tarayıcılarından çerezleri, kimlik bilgilerini, parolaları, kredi kartlarını ve tarama geçmişini çalmaya çalışan gelişmiş bir bilgi hırsızıdır.
Kötü amaçlı yazılım ayrıca, seed.txt, pass.txt, ledger.txt, trezor.txt, metamask.txt, bitcoin.txt, words, wallet.txt, *.txt ve *.pdf gibi isimlere sahip kripto para cüzdanlarını, özel anahtarları ve metin dosyalarını da çalabilir; çünkü bunların özel kripto anahtarları ve parolaları içerme olasılığı yüksektir.
Bu veriler bir arşivde toplanarak saldırgana geri gönderiliyor. Saldırganlar bu bilgileri daha sonraki saldırılarda kullanabiliyor veya siber suç pazarlarında satabiliyor.
GitHub personeli bu yorumları tespit ettikçe silse de, bazı kişiler saldırıya kandıklarını bildirmeye başladı.
Kötü amaçlı yazılımı çalıştıranların, her site için benzersiz bir parola kullanarak tüm hesaplarınızın parolalarını değiştirmeleri ve kripto paralarını yeni bir cüzdana taşımaları gerekiyor.
Check Point Research, geçen ay Stargazer Goblin adlı tehdit aktörlerinin, GitHub’da 3.000’den fazla sahte hesaptan bilgi çalan kötü amaçlı yazılımları dağıtmak için bir Hizmet Olarak Dağıtım (DaaS) oluşturduğu benzer bir kampanyayı ifşa etmişti.
Bunun aynı kampanya mı yoksa farklı tehdit aktörleri tarafından yürütülen yeni bir kampanya mı olduğu henüz belli değil.