Questa settimana, numerosi utenti di GitHub hanno ricevuto un'email di phishing innovativa che avvertiva di gravi falle di sicurezza nel loro codice. Coloro che hanno cliccato sul link per maggiori dettagli sono stati invitati a distinguersi dai bot premendo una combinazione di tasti che induce Microsoft Windows a scaricare malware per il furto di password. Sebbene sia improbabile che molti programmatori siano caduti in questa trappola, è significativo perché versioni meno mirate di questo attacco potrebbero avere molto più successo contro l'utente medio di Windows.
Un lettore di nome Chris ha condiviso un'email che ha ricevuto questa settimana, che imitava il team di sicurezza di GitHub, avvertendo: "Ciao! Abbiamo rilevato una vulnerabilità di sicurezza nel tuo repository. Contattaci su https://github-scanner[.]com per maggiori informazioni su come risolvere questo problema." Visitando quel link, si apre una pagina web che chiede al visitatore di "Verificare di essere umano" risolvendo un CAPTCHA inusuale.
Questo attacco malware si presenta come un CAPTCHA destinato a separare gli umani dai bot. Cliccando sul pulsante "Non sono un robot" appare un messaggio pop-up che chiede all'utente di seguire tre passaggi sequenziali per dimostrare la propria umanità . Il primo passo richiede di premere contemporaneamente il tasto con l'icona di Windows e la lettera "R", che apre un prompt "Esegui" di Windows. Questo prompt eseguirà qualsiasi programma specificato già installato sul sistema. Completando questa serie di pressioni di tasti, il PowerShell integrato di Windows scaricherà il malware per il furto di password.
Il secondo passo chiede all'utente di premere contemporaneamente il tasto "CTRL" e la lettera "V", incollando il codice maligno dagli appunti virtuali del sito. Il terzo passo, premendo il tasto "Invio", fa sì che Windows lanci un comando PowerShell, che poi recupera ed esegue un file maligno da github-scanner[.]com chiamato "l6e.exe."
PowerShell è uno strumento di automazione cross-platform potente, integrato in Windows, progettato per semplificare agli amministratori l'automazione delle attività su un PC o su più computer della stessa rete. Secondo un'analisi del servizio di scansione malware Virustotal.com, il file maligno scaricato dal testo incollato si chiama Lumma Stealer ed è progettato per sottrarre qualsiasi credenziale memorizzata sul PC della vittima.
Questa campagna di phishing potrebbe non aver ingannato molti programmatori, i quali comprendono nativamente che premere i tasti Windows e "R" apre un prompt "Esegui", o che Ctrl-V scarica il contenuto degli appunti. Tuttavia, la stessa tattica potrebbe funzionare perfettamente per ingannare alcuni dei miei amici e parenti meno esperti di tecnologia, inducendoli a eseguire malware sui loro PC. Scommetto anche che nessuna di queste persone ha mai sentito parlare di PowerShell, per non parlare di avviarlo intenzionalmente.
Visto ciò, sarebbe utile se ci fosse un modo semplice per disabilitare o almeno restringere fortemente PowerShell per gli utenti finali comuni, per i quali potrebbe rappresentare più un rischio che un vantaggio. Tuttavia, Microsoft sconsiglia fortemente di disabilitare PowerShell poiché alcuni processi e attività di sistema fondamentali potrebbero non funzionare correttamente senza di esso. Inoltre, farlo richiede di armeggiare con impostazioni sensibili nel registro di Windows, il che può essere un'impresa rischiosa anche per i più esperti.