Muchos usuarios de GitHub recibieron esta semana un nuevo correo electrónico de phishing que advertía sobre agujeros de seguridad críticos en su código. A quienes hicieron clic en el enlace para obtener detalles se les pidió que se distinguieran de los bots presionando una combinación de teclas del teclado que hace que Microsoft Windows descargue malware que roba contraseñas. Si bien es poco probable que muchos programadores cayeran en esta estafa, es notable porque es probable que las versiones menos específicas tengan mucho más éxito contra el usuario promedio de Windows. Un lector llamado Chris compartió un correo electrónico que recibió esta semana que suplantaba al equipo de seguridad de GitHub y advertía: «¡Hola! Hemos detectado una vulnerabilidad de seguridad en su repositorio. Comuníquese con nosotros en https://github-scanner[.]com para obtener más información sobre cómo solucionar este problema”. Al visitar ese enlace se genera una página web que solicita al visitante que “Verifique que es humano” resolviendo un CAPTCHA inusual. Este ataque de malware pretende ser un CAPTCHA destinado a separar a los humanos de los bots. Al hacer clic en el botón “No soy un robot”, se genera un mensaje emergente que solicita al usuario que realice tres pasos secuenciales para demostrar su humanidad. El paso 1 implica presionar simultáneamente la tecla del teclado con el ícono de Windows y la letra “R”, lo que abre un mensaje emergente de “Ejecutar” de Windows que ejecutará cualquier programa especificado que ya esté instalado en el sistema. Ejecutar esta serie de pulsaciones de teclas solicita al Windows Powershell integrado que descargue malware que roba contraseñas. El paso 2 solicita al usuario que presione la tecla “CTRL” y la letra “V” al mismo tiempo, lo que pega el código malicioso del portapapeles virtual del sitio. Paso 3: presionar la tecla “Enter” hace que Windows inicie un comando de PowerShell y luego obtenga y ejecute un archivo malicioso desde github-scanner[.]El archivo de PowerShell es una herramienta de automatización multiplataforma potente integrada en Windows que está diseñada para que los administradores puedan automatizar tareas de forma más sencilla en un PC o en varios equipos de la misma red. Según un análisis del servicio de escaneo de malware Virustotal.com, el archivo malicioso descargado por el texto pegado se llama Lumma Stealer y está diseñado para robar todas las credenciales almacenadas en el PC de la víctima. Esta campaña de phishing puede no haber engañado a muchos programadores, que sin duda entienden de forma nativa que al presionar las teclas Windows y “R” se abrirá un mensaje de “Ejecutar”, o que Ctrl-V volcará el contenido del portapapeles. Pero apuesto a que el mismo enfoque funcionaría perfectamente para engañar a algunos de mis amigos y familiares menos expertos en tecnología para que ejecuten malware en sus PC. También apostaría a que ninguna de estas personas ha oído hablar de PowerShell, y mucho menos ha tenido la oportunidad de iniciar intencionalmente una terminal de PowerShell. Teniendo en cuenta estas realidades, sería bueno que hubiera una forma sencilla de desactivar o al menos restringir en gran medida PowerShell para los usuarios finales normales para quienes podría convertirse en una carga mayor. Sin embargo, Microsoft recomienda encarecidamente no eliminar PowerShell porque algunos procesos y tareas centrales del sistema pueden no funcionar correctamente sin él. Además, hacerlo requiere modificar configuraciones sensibles en el registro de Windows, lo que puede ser una tarea arriesgada incluso para los expertos. Aun así, no estaría de más compartir este artículo con los usuarios de Windows de su vida que se ajusten al perfil menos experto, porque esta estafa en particular tiene mucho margen para el crecimiento y la creatividad.
Deja una respuesta