Специалисты ИБ из компании Sucuri обнаружили новый способ распространения вредоносных скриптов с использованием инфраструктуры GitHub. Как заявили исследователи, мошенники прятали криптомайнер в кэше CDN-сети RawGit, ориентированной на доставку контента из репозитория. Кампания не увенчалась успехом из-за ошибок в исходниках зловреда и оперативной реакции работников сервиса.

Киберпреступники попытались воспользоваться одной из особенностей RawGit: файлы, попавшие в кэш службы доставки контента, остаются там даже после удаления с GitHub. Мошенники загружали JS-скрипт генератора криптовалюты в репозиторий, дожидались его индексации CDN-сетью, после чего удаляли оригинальный аккаунт. Таким образом они обходили контроль со стороны систем безопасности и размещали установщик зловреда на надежном домене.

В качестве полезной нагрузки выступал криптомайнер CryptoLoot, ориентированный на добычу Monero, который киберпреступники внедряли на страницы сайтов под управлением Drupal и WordPress. После запуска макрос создавал невидимый фрейм, который подгружал обфусцированный код генератора цифровой валюты. Для запутывания следов программа использовала ряд прокси-серверов, которые менялись раз в два-три дня.

Несмотря на оригинальный метод размещения полезной нагрузки, усилия киберпреступников не увенчались успехом. Исследователи выяснили, что часть образцов вредоносного кода содержала ошибки и не запускала криптомайнер на инфицированных сайтах. Например, отсутствие открывающего тэга <script> приводило к отображению текста макроса на странице вместо его выполнения на зараженном ресурсе. По мнению специалистов, подобные баги свидетельствуют о неопытности нападавшего.

Как заявили представители Sucuri, служба поддержки RawGit быстро отреагировала на сообщения о вредоносном контенте. Сервис удалил скомпрометированные адреса из своей выдачи через несколько часов после получения отчета ИБ-экспертов.

Репозиторий GitHub нередко привлекает внимание специалистов по компьютерной безопасности. В марте эксперты обнаружили мошенническую кампанию, которая использовала случайные форки, выложенные на платформе, в качестве источника вредоносного кода. Размещенный там загрузчик криптомайнера выполнялся после того, как жертва кликала по рекламному баннеру или скачивала секс-игру.

Категории: Другие темы