Manche Github-User erhalten seit einigen Tagen eine Phising-E-Mail mit der Warnung, ihr Code leide unter kritischen Sicherheitslücken. Wer den darin enthaltenen Link anklickt, erhält zuerst eine Art Captcha-Rätsel, angeblich um sich als Nicht-Bot zu identifizieren. Dazu muss eine Kombination von Tastaturtasten gedrückt werden – doch wer dies tut, lädt Malware auf das Windows-System, die es Angreifern ermöglicht, Passwörter zu stehlen. Dies
berichtet die Website "Krebs on Security".
Das Fake-Captcha arbeitet mit mehreren Schritten: Zuerst muss der User den Button "I'm not a robot" anklicken. Danach wird er aufgefordert, nacheinander Windows-R, Ctrl-V und Enter zu drücken. Windows-R öffnet einen Run-Prompt, Ctrl-V pastet Schadcode von der virtuellen Zwischenablage der Phishing-Site, und mit Enter wird das schädliche Powershell-Script ausgeführt. Es ruft eine bösartige Datei von github-scanner[.]com namens "l6e.exe" ab und führt sie aus. Die bösartige Datei nennt sich Lumma Stealer und soll alle auf dem Zielsystem gespeicherten Login-Informationen stehlen.
Autor Brian Krebs merkt an, dass diese Phishing-Methode erfahrene Programmierer wohl kaum täusche. Aber in anderem Zusammenhang könne sie User, die womöglich noch nie etwas von Powershell gehört haben, schnell einmal zu Opfern werden lassen. Einfach Powershell zu deaktivieren, bringe jedoch Probleme mit sich und werde von
Microsoft nicht empfohlen, da einige Kernsystemprozesse und -aufgaben ohne Powershell möglicherweise nicht ordnungsgemäss funktionierten.
(ubi)
