Разработчики ПО, использующие репозитории на GitHub, стали целью вредоносной спам-кампании, в ходе которой заражаются троянцем Dimnie.

Сведения об атаках начали появляться в конце января, хотя исследователи склонны думать, что инциденты начались гораздо раньше.

Несмотря на то что зловред достаточно редок, спам-кампания развивается по классическому сценарию: в адрес жертвы приходит email-сообщение с комплиментами и предложением должности. Изучить описание вакансии и условия работы предлагается, открыв прикрепленный файл Word, в который внедрены вредоносные макросы. При исполнении макросов запускаются несколько PowerShell-команд, в результате чего на компьютер устанавливается троянец Dimnie.

К удивлению ИБ-экспертов, знавших Dimnie еще с 2014 года, в новой итерации реализован ряд важных изменений. Новая версия зловреда оснащена еще более мощными вредоносными функциями: троянец умеет скрывать вредоносный трафик за поддельными доменами и DNS-запросами, а также использует бесфайловые модули.

Бесфайловые зловреды не оставляют следов присутствия в системе и позволяют злоумышленникам долгое время оставаться незамеченными. Орудуя в зараженном компьютере, Dimnie внедряет свои модули в процессы приложений, собирает различную информацию с хостов, фиксирует нажатия клавиш, делает снимки экрана, выводит похищенные данные на сервер атаки и самоуничтожается по команде.

Очевидно, организаторы кампании пытаются проникнуть в сети предприятий. Не секрет, что обитатели GitHub — разработчики, которые работают на соответствующих позициях в различных компаниях, включая крупные. Заразив компьютер сотрудника компании, злоумышленники могут использовать свое положение для шпионажа, сбора информации и изучения инфраструктуры предприятия для последующих атак.

Кроме того, некоторые из жертв Dimnie могут иметь доступ к приватным репозиториям на GitHub, в которых содержится исходный код приложений, принадлежащих организациям. Благодаря доступу к исходному коду злоумышленники могут шантажировать компанию-владельца или же заниматься промышленным шпионажем, продавая объекты интеллектуальной собственности конкурентам.

Категории: Аналитика, Вредоносные программы, Главное, Спам