GitHub, phishing con trojan per sviluppatori

I ricercatori di PaloAlto Networks mettono in guardia gli utenti della popolare piattaforma da una campagna di phishing che potrebbe portare anche alla distruzione dei progetti ospitati

Roma – Le prime segnalazioni risalgono a questo gennaio, quando alcuni utenti GitHub si sono visti recapitare nella propria inbox messaggi simili a quello riportato qui sotto: apparentemente una semplice richiesta di aiuto per un progetto, in realtà dietro questi messaggi realizzati ad hoc si cela una vasta campagna di phishing mirata ai danni degli sviluppatori.


In questi giorni i ricercatori di sicurezza di PaloAlto Networks hanno pubblicato un post sul proprio blog che riporta un’analisi dettagliata dell’attacco, il cui perno è il malware conosciuto con il nome “Dimnie”: inizialmente rilevato nel 2014, questo trojan ha mietuto la maggior parte delle proprie vittime in Russia e grazie alle interessanti doti di evasività di cui può disporre è riuscito a scorrazzare indenne per la Rete sino ai giorni nostri e prendere di mira GitHub.

Visto da fuori, l’attacco presenta le solite caratteristiche comuni alla maggior parte di queste campagne: un messaggio email dal contenuto appositamente creato per fungere da esca (richieste di aiuto per un progetto oppure offerte di lavoro), un allegato in formato compresso con all’interno un file Word contenente una macro che se eseguita lancia una PowerShell per scaricare e iniettare direttamente in RAM l’eseguibile binario.


Una volta eseguito, Dimnie propone un ventaglio di funzionalità interessanti: si va dalla raccolta di credenziali al download di ulteriore malware, passando poi per le sempreverdi attività di keylogging e raccolta screenshot per chiudere con la possibilità di ricevere un comando di autodistruzione dal proprio Command & Control server in caso di necessità.

Il traffico generato in fase di download del malware viene camuffato tramite delle richieste HTTP e DNS a servizi Google le quali potrebbero sembrare innocue, ma dietro cui si nasconde invece un brillante tentativo di mascheramento: i ricercatori di PaloAlto Networks infatti, fanno notare come tale tecnica abbia l’obiettivo di gettare fumo negli occhi degli analisti di sicurezza mostrando delle query DNS senza alcun ulteriore traffico, cosa che però avviene solo in apparenza.

Per quanto riguarda la parte di data exfiltration , i moduli relativi fanno uso di altre richieste HTTP POST fittizie le quali sembrerebbero puntare al popolare servizio di posta di Google, Gmail: come in precedenza però, anche questo è solo un tentativo da parte del malware di far sembrare legittimo il traffico di dati per non destare troppi sospetti.

Al momento non si hanno notizie circa il fatto che la campagna appartenga ad un gruppo di malintenzionati o rientri tra i cosiddetti “trojan di stato”, ma quale che sia l’opzione, i consigli restano i soliti: porre sempre attenzione al mittente dei messaggi email che si ricevono; diffidare dei messaggi ricevuti da sconosciuti che richiedono l’apertura di file compressi e contenenti al proprio interno documenti Word/Excel/PowerPoint; disabilitare l’esecuzione automatica delle macro in Office; mantenere sempre aggiornato il proprio antivirus.

Niccolò Castoldi

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Russofobia
    Non c'e' bisogno di pensare ai russi: i Clinton e le loro frequentazioni sioniste e massoniche si sono squalificati da soli per il pubblico informato. Certi vizi privati non si possono piu' nascondere nell'era di Internet. Quello con i Russi e' in fondo un gioco delle parti per reprimere il vero dissenso sulle aristocrazie di questo mondo. E' da Lenin che anche la Russia e' telecomandata.
    • Thepassenge r scrive:
      Re: Russofobia
      Questo serve solo a confonder le idee della casalinga di voghera, chi si informa sa che sono frottole inventate dalla cia (specialmente dopo i leaks) e l'attacco ai russi è solo uno specchietto per le allodole non solo per censurare internet con la scusa delle fake news ma anche per continuare a punzecchiare la Russia stessa che non si piega al disegno dell'elite criminale globalista.Niente di nuovo, ma la storia comincia a diventare vecchia e la maggioranza, per fortuna, comincia ad aprire gli occhi e rigettare questi massonici delinquenti e le loro politiche distruggi stati.- Scritto da: Anonimo
      Non c'e' bisogno di pensare ai russi: i Clinton e
      le loro frequentazioni sioniste e massoniche si
      sono squalificati da soli per il pubblico
      informato. Certi vizi privati non si possono piu'
      nascondere nell'era di Internet. Quello con i
      Russi e' in fondo un gioco delle parti per
      reprimere il vero dissenso sulle aristocrazie di
      questo mondo. E' da Lenin che anche la Russia e'
      telecomandata.
      • xx tt scrive:
        Re: Russofobia
        A tutti gli ascoltatori:la massoneria, ricordiamolo, è una setta satanista.Per fare strada oltre ad un certo livello devi studiare testi esoterici. Il famoso occhio sulla punta della piramide sarebbe quello di satana.Una testimonianza a riguardo di queste zecche:https://www.youtube.com/watch?v=5XDCstYCY2g"TESTIMONIANZA DI UN EX MASSONE: LA MASSONERIA E' UNA SETTA SATANICA"
        • ... scrive:
          Re: Russofobia
          - Scritto da: xx tt
          A tutti gli ascoltatori:
          la massoneria, ricordiamolo, è una setta
          satanista.E quindi? Non esiste quindi ce ne possiamo sbattere tranquillamente le °° di satana.
          • xx tt scrive:
            Re: Russofobia

            E quindi? Non esiste quindi ce ne possiamo
            sbattere tranquillamente le °° di
            satana.Mica tanto. Perché per loro esiste e fa loro da modello. Perciò si comportano di conseguenza, ovvero il peggio possibile e questo ci riguarda, dato che sono ammanicati dovunque.Sarebbe batato che avessero preso a modello una figura meno negativa del fantomatico satana e magari molte sofferenze ce le saremmo risparmiate.
  • balmerd scrive:
    solo manipolazioni
    Che cattivoni i dirigenti russi, in confronto a quei pezzi di escremento pane degi dirigenti usa.Poi fra un po' di anni si scoprirà che la cia, travestita da fsb, ha boicottato la clinton su ordine di qualche consorzio di alti papaveri psicopatici come lei, ma di diverse vedute.Nell'odierna disinformazione globale tutto può essere, e le masse insulse e bovine sono solo amplificatori della volontà (travestita da 'volontà popolare'...) di chi le manipola meglio tramite i media compiacenti.
  • ... scrive:
    "democratici"
    I DEM non sanno perdere, sono dei rosiconi.
  • Il Fuddaro scrive:
    Beati
    Ma tu guarda un pò come suonano male questi atti d'accusa da una nazione che attacca e ha craccato il 90% di tutte le dorsali imagginabili e possibili.Sbaitassero dei beati beh almeno si poteva dire, si questi sono puri, i cattivoni sono quelli che hanno-avranno!? Fatto il c..o alla XXXXna guerrafondaia della clinton!!!!! Santificatevi voi usa per primi, che dopo saremo d'accordo con voi nel dire russi sporchi e cattivoni.
  • Giuseppe2016 scrive:
    Russia
    Che ha un bilancio inferiore a quello del solo Texas, 150.000.000 di persone di molto inferiori algli usa ma però cattivissimi, riescono a imbrogliare come dei bambocci i produttori del famoso e sicurissimo Windows.C'è qualcosa che non funziona.
    • Il Fuddaro scrive:
      Re: Russia
      - Scritto da: Giuseppe2016
      Che ha un bilancio inferiore a quello del solo
      Texas, 150.000.000 di persone di molto inferiori
      algli usa ma però cattivissimi, riescono a
      imbrogliare come dei bambocci i produttori del
      famoso e sicurissimo
      Windows.

      C'è qualcosa che non funziona.Bravo ci sei arrivato! Tutto non funziona in questa storia.
    • xx tt scrive:
      Re: Russia
      In effetti quelli della Diebold non avevano bisogno dei russi per barare.Ma cosa sarà mai se cìè stato Bush al posto di Al Gore...
  • acfeb09bf45 3b scrive:
    coincidenze
    Toh che coincidenze. Wikileaks pubblica i documenti del Marble framework che la CIA usa per cambiare il linguaggio dei suoi malware e farli apparire opera di stranieri:https://wikileaks.org/ciav7p1/cms/page_14588467.htmlE il giorno dopo ci dobbiamo sorbire l'ennesima scenaggiata sugli hacker russi.Non è credibile. Per cambiare il corso di una elezione non bastano un po' di phishing e post generati dai troll, non c'è nessuna nazione in grado di mettere in campo l'infrastruttura e la potenza di fuoco degli americani. Se c'era qualcuno con i mezzi e la volontà per truccare le elezioni quelli erano americani.
    • xx tt scrive:
      Re: coincidenze

      Se c'era
      qualcuno con i mezzi e la volontà per truccare le
      elezioni quelli erano
      americani.In effetti c'è il rischio che un certo "Lasso" abbia diciamo una spintarella. di quelle dalle terre selvagge ma con targa russa in caso si venga scoperti:"http://www.quotidiano.net/esteri/julian-assange-1.3006556Julian Assange, il suo futuro dipende dalle elezioni in EcuadorIl co-fondatore di WikiLeaks deve sperare che vinca Moreno, alle presidenziali del Paese che gli dà ospitalità nella sua ambasciata di Londra. Se vince Lasso, Julian ha 30 giorni per uscire dalla sede diplomatica a Londra, dove sarebbe arrestato e estradato, prima in Svezia e poi in Usa"
    • iRoby scrive:
      Re: coincidenze
      Io so che la Russia negli ultimi 20 anni si è dotata di un apparato di cyberspie ben più potente di quello americano.Ben inteso, non patteggio per gli Americani.Ma dal carro armato Armata ai nuovi Sukhoi, e addirittura una arma segreta che ha fatto correre gli americani a ricablare in fibra ottica quasi tutte le sue navi, perché i russi riescono a spegnere i sistemi operativi a distanza... La Russia nel frattempo non è stata a guardare e mentre gli USA spendono miliardi per guerre in mezzo pianeta, la Russia molti meno miliardi ma comunque cifre significative li ha spesi per rimodernare tutto l'apparato militare.E lo stesso ha fatto la Cina.
      • 063ec3f9b26 scrive:
        Re: coincidenze
        - Scritto da: iRoby
        Io so che la Russia negli ultimi 20 anni si è
        dotata di un apparato di cyberspie ben più
        potente di quello americano.
        (rotfl)
        Ben inteso, non patteggio per gli Americani.
        Ma dal carro armato Armata ai nuovi Sukhoi(rotfl)(rotfl)
        addirittura una arma segreta(rotfl)(rotfl)(rotfl)
        che ha fatto correre
        gli americani a ricablare in fibra ottica quasi
        tutte le sue navi, perché i russi riescono a
        spegnere i sistemi operativi a distanza... LaGli impulsi elettromagnetici sono noti fin dai primi esperimenti atomici. I circuiti elettronici dei veicoli militari sono schermati da un pezzo.
        Russia nel frattempo non è stata a guardare e
        mentre gli USA spendono miliardi per guerre in
        mezzo pianeta, la Russia molti meno miliardi ma
        comunque cifre significative li ha spesi per
        rimodernare tutto l'apparato
        militare.
        L'Arabia Saudita spende più della Russia in armamenti. Quanto a spese militari gli americani sono irraggiungibili.https://en.wikipedia.org/wiki/List_of_countries_by_military_expenditures
        • iRoby scrive:
          Re: coincidenze
          Bello questo post pieno di luoghi comuni ma soprattutto di discorsi tipo il Bar Sport sulla squadra del cuore.La Russia ha la metà dei cittadini degli USA su un territorio pieno di risorse, forse uno tra i primi produttori al mondo di petrolio.Le sue spese per l'apparato militare sono per armi quasi esclusivamente di difesa.Anche perché il suo PIL è appena quello del solo stato del Texas.Che cosa vorrà la Russia?Sono sicuro che è come dice questo articolo, vorrebbe sicuramente che la lasciassero in pace.https://comedonchisciotte.org/la-maledizione-della-thinking-class/Riguardo al rame e le fibre ottiche, leggila ogni tanto qualcosa di interessante, sennò fai solo la figura del solito scemo del Bar.http://www.maurizioblondet.it/tutte-le-portaerei-usa-cantiere-renderle-invulnerabili/-----------------------------------------------------------Modificato dall' autore il 03 aprile 2017 13.47-----------------------------------------------------------
          • 063ec3f9b26 scrive:
            Re: coincidenze
            In quel periodo in cui secondo la bufala linkata le portaerei americane erano rientrate c'era una portaerei americana in missione di provocazione contro la Cina nella zona contesa con gli altri paesi asiatici:https://www.google.nl/search?q=american+aircraft+carrier+south+china+sea&ie=utf-8&oe=utf-8&gws_rd=cr&ei=AzjiWJ65EsHWavfhkKgPStai solo trollando postando link a notizie false.
          • iRoby scrive:
            Re: coincidenze
            C'è la fonte di quelle notizie.È ovvio che non le fanno tutte insieme...Sempre i soliti discorsi da chi ha visione ristretta degli eventi.Fai bene a rimanere anonimo e cambiare sempre nick, sei sempre tu, il solito ignorante e provocatore...
          • Il Fuddaro scrive:
            Re: coincidenze
            - Scritto da: iRoby
            C'è la fonte di quelle notizie.
            È ovvio che non le fanno tutte insieme...

            Sempre i soliti discorsi da chi ha visione
            ristretta degli
            eventi.
            Fai bene a rimanere anonimo e cambiare sempre
            nick, sei sempre tu, il solito ignorante e
            provocatore...Si ma non prendertela tanto, anche perché ci sono abituati proprio a vivere in quel modo.Contraddire sempre l'avverso, che sia il tifoso della squadre avversaria, o che sia il cittadino della città vicina(campanilismo) od altro.... E mai dico mai mettere la faccia. Ed è così anche e soprattutto nella vita reale. Ci sono cresciuti in quel modo.
          • ... scrive:
            Re: coincidenze

            E mai dico mai mettere la faccia. Ed è così anche
            e soprattutto nella vita reale.Scritto da: Il Fuddaro :|Hai proprio la faccia come il XXXX!
          • 063ec3f9b26 scrive:
            Re: coincidenze
            - Scritto da: iRoby
            C'è la fonte di quelle notizie.
            È ovvio che non le fanno tutte insieme...

            Sempre i soliti discorsi da chi ha visione
            ristretta degli
            eventi.
            Fai bene a rimanere anonimo e cambiare sempre
            nick, sei sempre tu, il solito ignorante e
            provocatore...LOL. Adessi cerchi di ricorrere agli insulti per darti un po' di tono.Attacchi l'utente perchè il contenuto di post è indifendibile.
          • iRoby scrive:
            Re: coincidenze
            No attacco la stupidità umana...
      • xx tt scrive:
        Re: coincidenze

        Ma dal carro armato Armata ai nuovi SukhoiLa mia impressione "da bar" è che yankee e russi abbiano obiettivi diversi quando si armano.I russi si armano per difendersi, quindi le armi sono efficaci e pensate per costare poco e durare. Vedi l'AK47 che ormai è un simbolo di questo stile.Gli yankee si armano per far guadagnare chi paga la campagna elettorale, quindi le armi sono sufficienti per vincere coi piccoli stati con le risorse ma per il resto servono ad avere sempre il giro di manutenzione e per fare la cresta ovunque possibile.Il simbolo di tutto questo è l'F35, che in russia sarebbe stato impensabile.Certo, l'F35 lo fanno per propinarlo agli altri in modo obbligatorio. Ma rimane un simbolo yankee che li identifica ampiamente.
      • Il Fuddaro scrive:
        Re: coincidenze
        - Scritto da: iRoby
        Io so che la Russia negli ultimi 20 anni si è
        dotata di un apparato di cyberspie ben più
        potente di quello
        americano.

        Ben inteso, non patteggio per gli Americani.
        Ma dal carro armato Armata ai nuovi Sukhoi, e
        addirittura una arma segreta che ha fatto correre
        gli americani a ricablare in fibra ottica quasi
        tutte le sue navi, perché i russi riescono a
        spegnere i sistemi operativi a distanza... La
        Russia nel frattempo non è stata a guardare e
        mentre gli USA spendono miliardi per guerre in
        mezzo pianeta, la Russia molti meno miliardi ma
        comunque cifre significative li ha spesi per
        rimodernare tutto l'apparato
        militare.

        E lo stesso ha fatto la Cina.Tranquillo il 'vero' potere, su quell' apparato resta ben saldo nelle mani degli usa. Hanno ancora loro le mani su tutte le infrastrutture e su tutto quanto conti ancora veramente.
  • xx tt scrive:
    E sul contenuto?
    Niente da dire sul contenuto delle e-mail di killary? Mi raccomando, lasciamo pure stare la vecchia pedoXXXXXsatanista così continua con i suoi voli "lolita express"."I gruppi hacker APT28, Sofacy e Fancy Bear al soldo dell'intelligence militare russa"Scusate...quali prove ci sono che questi gruppi lavorino per i russi?Hanno trovato i passaporti carbonizzati (ma con foto e dati liggibili) davanti all'ambasciata russa?Sembrano quelle stime precisissime che ci danno sull'evasione fiscale...se sono cifre non dichiarate, come si fa a calcolarle con precisione?
    • collione scrive:
      Re: E sul contenuto?
      - Scritto da: xx tt
      Hanno trovato i passaporti carbonizzati (ma con
      foto e dati liggibili) davanti all'ambasciata
      russa?no no, erano nuovi di zecca, come quelli mostrati da Poroshenko qualche anno fa e che sarebbero ( secondo lui ) appartenuti a militari russi che combattevano contro il "valoroso esercito ucraino" nel Donbass occupato dai terribili russiovviamente strisciando nelle trincee fangose, i passaporti erano tuttavia rimasti immacolati, senza macchie e/o pieghe di alcun genereXXXXX, i russi hanno inventato un tipo di materiale autopulente e impossibile da stropicciare....lo voglioooooo
      Sembrano quelle stime precisissime che ci danno
      sull'evasione fiscale...se sono cifre non
      dichiarate, come si fa a calcolarle con
      precisione?con la stessa precisione con cui, da 2 anni, i Paesi UE possono ( su direttiva UE, mica per loro iniziativa, quindi e' tutto bello, lecito e giusto ) aggiungere al loro PIL le stime degli introiti delle attivita' criminaliovvero falso in bilancio al cubo, ma che fatto da lorsignori diventa lecito e giustocredo che Orwell si stia rivoltando nella tomba!!
      • xx tt scrive:
        Re: E sul contenuto?
        Ma pensa...io ero rimaso ai militari che hanno al più la targhetta metallica di riconoscimento.E invece questi "russi" si portano pure il passaporto nel campo di battaglia, dentro la cover anti-fango che non si sa mai se serva fare la foto per i giornalisti. Sono proprio avanti questo "russi"...
        con la stessa precisione con cui, da 2 anni, i
        Paesi UE possono ( su direttiva UE, mica per loro
        iniziativa, quindi e' tutto bello, lecito e
        giusto ) aggiungere al loro PIL le stime degli
        introiti delle attivita'
        criminali

        ovvero falso in bilancio al cubo, ma che fatto da
        lorsignori diventa lecito e
        giusto

        credo che Orwell si stia rivoltando nella tomba!!In effetti è un pezzo che Orwell mi sta sempre più sulle palle: sta succedendo tutto quello che aveva previsto e pure in modo amplificato....non avrà portato un attimo sfiga?
        • Il Fuddaro scrive:
          Re: E sul contenuto?
          - Scritto da: xx tt
          Ma pensa...io ero rimaso ai militari che hanno al
          più la targhetta metallica di
          riconoscimento.
          E invece questi "russi" si portano pure il
          passaporto nel campo di battaglia, dentro la
          cover anti-fango che non si sa mai se serva fare
          la foto per i giornalisti. Sono proprio avanti
          questo
          "russi"...



          con la stessa precisione con cui, da 2 anni, i

          Paesi UE possono ( su direttiva UE, mica per
          loro

          iniziativa, quindi e' tutto bello, lecito e

          giusto ) aggiungere al loro PIL le stime degli

          introiti delle attivita'

          criminali



          ovvero falso in bilancio al cubo, ma che fatto
          da

          lorsignori diventa lecito e

          giusto



          credo che Orwell si stia rivoltando nella
          tomba!!

          In effetti è un pezzo che Orwell mi sta sempre
          più sulle palle: sta succedendo tutto quello che
          aveva previsto e pure in modo
          amplificato.

          ...non avrà portato un attimo sfiga?No guarda che Orwell, in confronto alla realtà delle cose, sembra che fosse un buonista e positivo.
        • collione scrive:
          Re: E sul contenuto?
          - Scritto da: xx tt
          E invece questi "russi" si portano pure il
          passaporto nel campo di battaglia, dentro laovviamente, altrimenti se vuoi aprire un conto in banca all'estero come fai? :De poi lo sanno tutti che ad oggi le banche ucraine sono solidissime ed affidabilissime (rotfl)l'ultima banca ( quella di Kolomoisky ) e' stata acquisita dagli "avvocati" di un oligarca vicino a Poroshenko...a colpi di kalashnikov!!acquisizioni e fusioni da quelle parti seguono modelli e metodi molto virili :D
    • ... scrive:
      Re: E sul contenuto?
      - Scritto da: xx tt
      "I gruppi hacker APT28, Sofacy e Fancy Bear al
      soldo dell'intelligence militare
      russa"
      Scusate...quali prove ci sono che questi gruppi
      lavorino per i
      russi?https://en.wikipedia.org/wiki/Fancy_BearCosí la prossima volta forse eviti di dire sciocchezze.
      • Il Fuddaro scrive:
        Re: E sul contenuto?
        - Scritto da: ...
        - Scritto da: xx tt

        "I gruppi hacker APT28, Sofacy e Fancy Bear
        al

        soldo dell'intelligence militare

        russa"

        Scusate...quali prove ci sono che questi
        gruppi

        lavorino per i

        russi?

        https://en.wikipedia.org/wiki/Fancy_Bear

        Cosí la prossima volta forse eviti di dire
        sciocchezze.In quelle pagine si leggono UNa MAREA di SUSPECTED! Solo agli 'amanti' del 'gomblotto' si chiedono PProve certe!
        • ... scrive:
          Re: E sul contenuto?
          Tra voi che dite che non è vero e questi , SecureWorks,ThreatConnect and Fireeye's Mandiant , io do "un filino" di credibilità in più a loro. :)
          • xx tt scrive:
            Re: E sul contenuto?
            - Scritto da: ...
            Tra voi che dite che non è vero e questi ,
            SecureWorks,ThreatConnect and Fireeye's Mandiant
            , io do "un filino" di credibilità in più a loro.

            :)A me i russi danno l'impressione di essere esperti dell'inganno (magari deriva dalla loro cultura da KGB). Perciò quando vedo qualcuno "associato" ai russi la prima cosa che penso è che sia una bufala.
    • Il Fuddaro scrive:
      Re: E sul contenuto?
      - Scritto da: xx tt
      Niente da dire sul contenuto delle e-mail di
      killary? Mi raccomando, lasciamo pure stare la
      vecchia pedoXXXXXsatanista così continua con i
      suoi voli "lolita
      express".


      "I gruppi hacker APT28, Sofacy e Fancy Bear al
      soldo dell'intelligence militare
      russa"
      Scusate...quali prove ci sono che questi gruppi
      lavorino per i
      russi?

      Hanno trovato i passaporti carbonizzati (ma con
      foto e dati liggibili) davanti all'ambasciata
      russa?


      Sembrano quelle stime precisissime che ci danno
      sull'evasione fiscale...se sono cifre non
      dichiarate, come si fa a calcolarle con
      precisione?E già, e già.... Sembra.... ma lo dice pantalone e quindi dovete crederci che è così.
Chiudi i commenti