Злоумышленники рассылают разработчикам поддельные предложения работы.
Разработчики приложений, обменивающиеся кодами на GitHub, стали жертвами новой фишинговой кампании. Злоумышленники рассылают пользователям ресурса электронные письма, инфицирующие системы жертв модульным трояном Dimnie.
Первые жалобы на фишинговые письма стали появляться в конце января текущего года. Однако, как показало расследование ИБ-экспертов Palo Alto, атаки начались несколькими неделями ранее. Троян Dimnie сложно назвать популярным, однако кампания с его использованием ничем не отличается от других подобных атак.
Злоумышленники рассылают пользователям GitHub письма якобы с предложением работы. «Здравствуйте. Я нашел вашу программу online. Могли бы вы написать код для моего проекта? Задачи описаны во вложении к письму. Если вы согласны, можем обсудить оплату. Жду вашего ответа», - говорится в одном из фишинговых писем.
Согласно другому письму, некий Адам Бухбиндер (Adam Buchbinder) увидел репозиторий разработчика на GitHub и был «сильно впечатлен». Приманка та же, что и в представленном выше сообщении. Потенциальный заказчик предлагает работу, а все условия изложены в приложенном к письму документе. Прикрепленный файл представляет собой архив, после распаковки открывающий Word-документ с макросами. После активирования макросы выполняют ряд команд PowerShell по загрузке и установке трояна Dimnie.
По словам исследователей, используемая в фишинговой кампании версия вредоноса является совсем новой (оригинальный Dimnie появился в 2014 году). Троян способен маскировать вредоносный трафик, а его модули выполняются в памяти ОС, не оставляя следов на диске пользователя. Dimnie может внедрять свои модули в процессы любого приложения, собирать и передавать данные на C&C-сервер, фиксировать нажатия на клавиатуре, делать скриншоты и самоуничтожаться после получения соответствующей команды.
Сбалансированная диета для серого вещества