Почти два десятка репозиториев на GitHub содержали искусственно раздутый RAR-архив, в котором скрывался небольшой файл, содержащий вредоносное ПО RisePro. Это вредоносное ПО для кражи информации отображало украденные данные в Telegram.

Вы не найдете дешевле

Эксперты G DATA выявили на GitHub около двух десятков репозиториев, из которых вредоносное ПО. Злоумышленники, стоящие за кампанией, выдавали содержимое репозиториев за пиратское коммерческое программное обеспечение. На самом деле доверчивые пользователи скачали инфостилер — программа, предназначенная для кражи данных, под названием RisePro.

Коммерческие программы, предположительно предлагаемые в пиратской форме, включали: антивирус АВАСТдорогой, но тем не менее популярный среди музыкантов и звукорежиссеров пакет FabFilter, а также утилиты DaemonTools, CCleanerМастер разделов EaseUS, VueScan и другие. Всего эксперты насчитали 17 репозиториев, связанных с 11 пользователями, каждый из которых якобы содержит отдельный коммерческий пакет.

Файл справки README.md содержал значки с зелеными кружками, добавленные с помощью Юникод. Обычно в GitHub эти значки обозначают статус автоматических сборок; Таким образом, злоумышленники попытались придать своим репозиториям вид легитимных.

19_03_24_ib_700.jpg

В некоторых репозиториях GitHub вместо пиратского ПО размещено вредоносное ПО.

В репозиториях есть архив РАР, раздутый до 699 МБ, чтобы сойти за дистрибутив пакета программного обеспечения; на самом деле он содержит всего один файл размером 3,43 МБ — загрузчик, встраивающий вредоносное ПО в легитимные процессы AppLaunch.exe или RegAsm.exe.

Telegram как промежуточное звено

Впервые RisePro был замечен в конце 2022 года: тогда он распространялся через киберпреступный сервис PrivateLoader.

Написанная на C++, RisePro собирает соответствующую системную информацию и передает ее как минимум двум частный канал в Telegram. Недавнее исследование компании Галочка также показал, что из робот злоумышленники вы можете скачать информацию, собранную на других аккаунтах, в Телеграмма.

ЧИТАТЬ   Биткойн-кодеры обсуждают разгром мемкойнов на 1 миллиард долларов

RisePro — не единственное вредоносное ПО, активно использующее Telegram.

«Помимо RisePro, я могу сразу вспомнить Masad Stealer, Zaraza Bot, ToxicEye — все они так или иначе используют возможности Telegram либо для отображения данных, либо для управления», — говорит Анастасия Мельниковадиректор по корпоративной информационной безопасности ПОСЛЕДОВАТЕЛЬНОСТЬ. По ее словам, любая безопасная коммуникационная платформа, позволяющая экономить анонимность, неизбежно используются злоумышленниками во вред, но это не проблема самих коммуникационных платформ. «В случае с RisePro проблема в любителях пират программное обеспечение, которое считает GitHub хорошим местом для таких исследований, но на самом деле они сталкиваются с непредвиденными последствиями», — заключил Анастасия Мельникова.

Как говорится в публикации компании ДАННЫЕ ЖЗлоумышленники сами присвоили своей кампании название GitGub. Все идентифицированные репозитории вредоносное ПО теперь закрыто Майкрософт.

Ромен Георгиев

Source

От admin