Azt javasolják a GitHub-os kommentekben a felhasználóknak, hogy töltsenek le egy jelszóval védett archívumot a mediafire.com webhelyről vagy egy bit.ly címről, majd pedig futtassák le a benne lévő fájlt.
A linkre kattintva a felhasználók egy “fix.zip” nevű fájl letöltési oldalára jutnak, amely néhány DLL fájlt és egy x86_64-w64-ranlib.exe nevű futtatható fájlt tartalmaz.
Miután a fájl lefuttatásra került az Any.Run oldalon, azt jelzi, hogy ez a Lumma Stealer információlopó malware. Cookie-kat, hitelesítő adatokat, jelszavakat, hitelkártya adatokat és böngészési előzményeket próbál ellopni a Google Chrome, a Microsoft Edge, a Mozilla Firefox és más Chromium böngészőkből.
A kártevő kriptovalutatárca fájlokat, privát kulcsokat és olyan nevű szöveges fájlokat is ellophat, mint például seed.txt, pass.txt, ledger.txt, trezor.txt, metamask.txt, bitcoin.txt, wallet.txt, mivel ezek valószínűleg privát kulcsokat és jelszavakat tartalmaznak.
Ezek az adatok először egy archívumba kerülnek, majd miután a támadók megkapták őket, a megszerzett információkat további támadásoknál is felhasználhatják vagy eladhatják különböző kiberbűnözői piactereken.
A GitHub munkatársai már törölték ezeket a megjegyzéseket, viszont azoknak a felhasználóknak, akik már futtaták ezt a malwaret, meg kell változtatniuk a jelszavaikat a fiókjaiknál úgy, hogy minden webhelyen egyedi jelszót használjanak, illetve a kriptovalutáikat is tanácsos új tárcába helyezni.
