Muchos usuarios de GitHub recibieron esta semana un novedoso correo
electrónico de phishing advirtiendo sobre agujeros críticos de seguridad en su
código. A quienes hicieron clic en el enlace para obtener más detalles se les
pidió que se distinguieran de los bots presionando una combinación de teclas
que hace que Microsoft Windows descargue malware para robar contraseñas. Si
bien es poco probable que muchos programadores hayan caído en esta estafa, es
notable porque es probable que versiones menos específicas tengan mucho más
éxito entre el usuario promedio de Windows.
Un lector llamado Chris compartió un correo electrónico que recibió esta
semana que falsificaba al equipo de seguridad de GitHub y advertía:
«¡Hola! Hemos detectado una vulnerabilidad de seguridad en su repositorio.
Comuníquese con nosotros en https://github-scanner[.]com para obtener más
información sobre cómo solucionar este problema».
Visitar ese enlace genera una página web que le pide al visitante que
«verifique que es humano» resolviendo un CAPTCHA inusual.
Al hacer clic en el botón «No soy un robot», se genera un mensaje
emergente que solicita al usuario que siga tres pasos secuenciales para
demostrar su humanidad. El paso 1 implica presionar simultáneamente la tecla
del teclado con el ícono de Windows y la letra «R», lo que abre un mensaje
«Ejecutar» de Windows que ejecutará cualquier programa específico que ya esté
instalado en el sistema.
El paso 2 pide al usuario que presione la tecla «CTRL» y la letra «V» al mismo
tiempo, lo que pega el código malicioso desde el portapapeles virtual del
sitio.
El paso 3, al presionar la tecla «Entrar», hace que Windows inicie un comando
de PowerShell y luego busque y ejecute un archivo malicioso de
github-scanner[.]com llamado «l6e.exe».
Según un análisis del servicio de escaneo de malware
Virustotal.com, el archivo malicioso descargado con el texto pegado se llama
Lumma Stealer
y está diseñado para robar cualquier credencial almacenada en la PC de la
víctima.
Es posible que esta campaña de phishing no haya engañado a muchos
programadores, quienes sin duda entienden de forma nativa que al presionar las
teclas Windows y «R» se abrirá un mensaje «Ejecutar», o que Ctrl-V volcará el
contenido del portapapeles.
Pero apuesto a que el mismo enfoque funcionaría bien para engañar a algunos de
mis amigos y familiares menos conocedores de la tecnología para que ejecuten
malware en sus PC. También apuesto a que ninguna de estas personas ha oído
hablar de PowerShell, y mucho menos ha tenido ocasión de hacerlo
intencionalmente. Inicie una terminal PowerShell.
Dadas esas realidades, sería bueno si hubiera una manera sencilla de
deshabilitar o al menos restringir en gran medida PowerShell para los usuarios
finales normales para quienes podría convertirse en una responsabilidad mayor.
Sin embargo, Microsoft desaconseja encarecidamente eliminar PowerShell porque
es posible que algunos procesos y tareas centrales del sistema no funcionen
correctamente sin él. Es más, hacerlo requiere modificar configuraciones
sensibles en el registro de Windows, lo que puede ser una tarea arriesgada
incluso para los eruditos.
Aún así, no estaría de más compartir este artículo con los usuarios de Windows
de su vida que se ajusten al perfil menos experto. Porque esta estafa en
particular tiene mucho espacio para el crecimiento y la creatividad.
Fuente:
Krebsonsecurity
Los comentarios están cerrados.