20 sept 2024

Toma, ejecuta este Powershell e inféctate

Muchos usuarios de GitHub recibieron esta semana un novedoso correo electrónico de phishing advirtiendo sobre agujeros críticos de seguridad en su código. A quienes hicieron clic en el enlace para obtener más detalles se les pidió que se distinguieran de los bots presionando una combinación de teclas que hace que Microsoft Windows descargue malware para robar contraseñas. Si bien es poco probable que muchos programadores hayan caído en esta estafa, es notable porque es probable que versiones menos específicas tengan mucho más éxito entre el usuario promedio de Windows.

Un lector llamado Chris compartió un correo electrónico que recibió esta semana que falsificaba al equipo de seguridad de GitHub y advertía: "¡Hola! Hemos detectado una vulnerabilidad de seguridad en su repositorio. Comuníquese con nosotros en https://github-scanner[.]com para obtener más información sobre cómo solucionar este problema".

Visitar ese enlace genera una página web que le pide al visitante que "verifique que es humano" resolviendo un CAPTCHA inusual.

Al hacer clic en el botón "No soy un robot", se genera un mensaje emergente que solicita al usuario que siga tres pasos secuenciales para demostrar su humanidad. El paso 1 implica presionar simultáneamente la tecla del teclado con el ícono de Windows y la letra "R", lo que abre un mensaje "Ejecutar" de Windows que ejecutará cualquier programa específico que ya esté instalado en el sistema.

El paso 2 pide al usuario que presione la tecla "CTRL" y la letra "V" al mismo tiempo, lo que pega el código malicioso desde el portapapeles virtual del sitio.

El paso 3, al presionar la tecla "Entrar", hace que Windows inicie un comando de PowerShell y luego busque y ejecute un archivo malicioso de github-scanner[.]com llamado "l6e.exe".

Según un análisis del servicio de escaneo de malware Virustotal.com, el archivo malicioso descargado con el texto pegado se llama Lumma Stealer y está diseñado para robar cualquier credencial almacenada en la PC de la víctima.

Es posible que esta campaña de phishing no haya engañado a muchos programadores, quienes sin duda entienden de forma nativa que al presionar las teclas Windows y "R" se abrirá un mensaje "Ejecutar", o que Ctrl-V volcará el contenido del portapapeles.

Pero apuesto a que el mismo enfoque funcionaría bien para engañar a algunos de mis amigos y familiares menos conocedores de la tecnología para que ejecuten malware en sus PC. También apuesto a que ninguna de estas personas ha oído hablar de PowerShell, y mucho menos ha tenido ocasión de hacerlo intencionalmente. Inicie una terminal PowerShell.

Dadas esas realidades, sería bueno si hubiera una manera sencilla de deshabilitar o al menos restringir en gran medida PowerShell para los usuarios finales normales para quienes podría convertirse en una responsabilidad mayor.

Sin embargo, Microsoft desaconseja encarecidamente eliminar PowerShell porque es posible que algunos procesos y tareas centrales del sistema no funcionen correctamente sin él. Es más, hacerlo requiere modificar configuraciones sensibles en el registro de Windows, lo que puede ser una tarea arriesgada incluso para los eruditos.

Aún así, no estaría de más compartir este artículo con los usuarios de Windows de su vida que se ajusten al perfil menos experto. Porque esta estafa en particular tiene mucho espacio para el crecimiento y la creatividad.

Fuente: Krebsonsecurity

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!