大規模なフィッシング攻撃が、GitHub内の開発者を直接対象に、偽の Visual Studio Code セキュリティアラートを配布しています。
攻撃者はGitHub Discussionsを悪用して、捏造された脆弱性警告を投稿し、ユーザーが悪意あるソフトウェアをダウンロードするよう仕向けています。
多数の開発者にタグを付け、GitHubの組み込みメール通知システムを利用することで、脅威行為者は到達範囲を拡大し、従来のスパムフィルターをバイパスして、非常に説得力のあるおとりを開発者のインボックスに直接送ります。
このキャンペーンは、多数のリポジトリ全体に大量の投稿を作成することで運営されています。これらの投稿は「重大な悪用 緊急対応が必要」のような警告的なタイトルを使用し、しばしば完全に捏造されたCVE番号を参照しています。
正規の更新チャネルを使用する代わりに、アラートは開発者に外部ファイル共有リンク(主にGoogle Driveインフラストラクチャを使用)から、いわゆる緊急パッチをダウンロードするよう指示しています。
開発者が提供されたリンクをクリックすると、すぐにマルウェアが提供されるわけではありません。代わりに、トラフィック配信システム(TDS)として機能する多段階のリダイレクションチェーンに入ります。
攻撃者制御のインフラストラクチャにルーティングされると、被害者は軽量で高度に難読化された JavaScript偵察 ページを提供されます。
このスクリプトは、すぐに目に見えるペイロードをドロップしたり、認証情報をリクエストしたりしません。代わりに、ターゲットをプロファイリングするために環境データを静かに収集します。
フィンガープリント スクリプトは、システムタイムゾーン、オペレーティングシステムプラットフォーム、プライマリユーザーエージェント、および環境スプーフィングを検出するための隠しiframe経由でセカンダリユーザーエージェントを収集します。また、分析ツールを回避するための自動化シグナルもチェックします。
収集されたデータはエンコードされ、ユーザーのインタラクションなしに、目に見えないフォームPOST リクエスト経由でC2サーバー に自動的に送信されます。このフィルタリング層は、実行可能性の高いターゲットのみがセカンダリペイロードを受け取ることを確保します。
このキャンペーンから身を守るために、開発者はGitHubで勧誘されていないセキュリティ勧告に遭遇した場合、注意を払う必要があります。
正規のベンダーは、サードパーティのファイル共有サービスを通じてソケット重要ソフトウェア パッチを配布することはありません。セキュリティチームは既知のC2ドメインを監視し、開発者はすべての更新が直接実行されることを確認する必要があります。
翻訳元: https://cyberpress.org/fake-vs-code-alerts-deliver-malware/