Наши проекты:
Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту |
||
ПРАВИЛА | FAQ | Помощь | Поиск | Участники | Календарь | Избранное | RSS |
[18.117.153.38] |
|
Сообщ.
#1
,
|
|
|
Любителям скачивать пиратский софт в GitHub подсовывали троян, крадущий данные
Почти два десятка репозиториев в GitHub содержали искусственно раздутый архив RAR, в котором скрывался маленький файл с вредоносной программой RisePro. Этот вредонос-инфостилер выводил краденые данные в Telegram. Дешевле не найдёте Эксперты компании G DATA выявили почти два десятка репозиториев в GitHub, с которых раздавалось вредоносное ПО. Злоумышленники, стоявшие за кампанией, выдавали содержимое репозиториев за взломанное коммерческое программное обеспечение. На деле доверчивым пользователям загружался инфостилер - программа, предназначенная для кражи данных под названием RisePro. Среди коммерческих программ, якобы предлагавшихся во взломанном виде, значились, в частности, антивирус AVAST, дорогостоящий, но, тем не менее, популярный среди музыкантов и звукоинженеров пакет FabFilter, а также утилиты DaemonTools, CCleaner, EaseUS Partition Master, VueScan и другие. Всего эксперты насчитали 17 репозиториев, связанных с 11 пользователями, каждый из которых содержал якобы отдельно взятый коммерческий пакет. Справочный файл README.md содержал иконки в виде зелёных кружков, добавленных с помощью Unicode. Обычно в GitHub этими иконками обозначается статус автоматических сборок; тем самым злоумышленники пытались придать своим репозиториям легитимный вид. Фото: Michael Geiger / Фотобанк Unsplash Некоторые репозитории в GitHub подкладывали вредонос вместо пиратского софта В репозиториях лежит архив RAR, раздутый до 699 Мб, чтобы сойти за дистрибутив программного пакета; на деле же в нём содержится только один файл размером 3,43 Мб - загрузчик, который встраивает вредоносную программу в легитимные процессы AppLaunch.exe или RegAsm.exe Telegram как промежуточное звено RisePro был впервые замечен в конце 2022 г.: тогда он распространялся через киберкриминальный сервис PrivateLoader. Написанный на языке C++, RisePro собирает значимую системную информацию и переправляет её как минимум в два приватных канала в Telegram. Недавние исследования компании Checkmarx также показали, что из бота злоумышленников можно выгружать собранную информацию и в другие аккауны в Telegram. RisePro не единственный вредонос, активно использующий Telegram. «Помимо RisePro, навскидку вспоминаются Masad Stealer, Zaraza Bot, ToxicEye - все они так или иначе используют возможности Telegram либо для вывода данных, либо для управления», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. По ее словам, любые платформы с защищёнными коммуникациями, позволяющие сохранять анонимность, неизбежно используются злоумышленниками во вред, но это проблема не самих коммуникационных платформ. «В случае с RisePro проблема в любителях пиратского софта, которые верят, что GitHub - удачное место для таких поисков, а на деле встречаются с неожиданными последствиями», - подытожила Анастасия Мельникова. Как отмечено в публикации компании G DATA, злоумышленники сами присвоили своей кампании название GitGub. Все выявленные репозитории с вредоносами к настоящему моменту закрыты Microsoft. Адрес новости: https://safe.cnews.ru/news/top/2024-03-19_lyubiteli_iskat_piratskij |