Malware propaga-se em notificações do GitHub
Uma nova campanha de malware encontra-se a usar o GitHub para enganar as vítimas, e levar as mesmas a descarregarem malware nos seus sistemas. Esta campanha usa o sistema de notificações do GitHub para propagar o esquema, e foca-se para utilizadores que ativam as notificações dos projetos.
O esquema começa com um utilizador a abrir um novo “problema” com o repositório do GitHub, alegando que existe uma vulnerabilidade de segurança no mesmo. Este ticket contem um link para o “GitHub Scanner”, uma ferramenta que não existe, mas que tenta fazer-se passar como um sistema de verificação da plataforma por falhas e vulnerabilidades.
O ticket criado leva os utilizadores para um site externo, não relacionado com a plataforma, onde os mesmos são incentivados a descarregarem malware para sistemas Windows. A piorar a situação encontra-se o facto de este ticket ser enviado também como um email para todas as pessoas que estejam subscritas no projeto.
Os utilizadores podem receber o conteúdo do ticket diretamente no email, o que inclui um link direto para o site malicioso. Desta forma, os utilizadores podem acabar por descarregar o malware sem sequer irem diretamente ao GitHub. Isto pode acontecer até mesmo depois do ticket ser removido da plataforma pelos administradores do projeto, tendo em conta que o email continua nas caixas de entrada dos utilizadores.
Como os emails de notificação do GitHub são considerados fidedignos pela maioria das plataformas, estes podem acabar na caixa de entrada dos utilizadores sem filtragem direta.
O site que os utilizadores são levados a visitar também conta com uma técnica interessante de ataque. Invés de levar ao download direto de malware, o site apresenta os passos que os utilizadores devem fazer para executar um script malicioso no sistema.
O conteúdo do script é automaticamente copiado para a área de transferência do sistema quando o site é aberto, sendo que os utilizadores apenas necessitam de seguir os passos indicados no site para o executar – envolvendo o atalho de abrir a caixa de “Executar” do Windows para colar o comando.
Para os utilizadores em geral, sobretudo programadores com estas notificações do GitHub ativas, o recomendado será terem extremo cuidado com todas as mensagens recebidas e o conteúdo das mesmas, evitando aceder a links externos desconhecidos.