На GitHub напал опасный для разработчиков троян

Софт Безопасность Бизнес Интернет
мобильная версия
, Текст: Роман Георгиев

Неизвестные злоумышленники пытаются проводить фишинговую кампанию, направленную против пользователей ресурса GitHub, популярного у программистов. Фишинговые письма, имитирующие приглашения на работу, содержат малоизвестный до недавнего времени троянец Dimnie, появившийся еще в 2014 г. и использующийся преимущественно в атаках против русскоязычных пользователей. В настоящий момент наибольший интерес у экспертов вызывают методы сокрытия вредоносного трафика, реализованные в этом зловреде.


Атаки на GitHub

С начала 2017 г. пользователи GitHub — крупнейшего веб-сервиса для хостинга ИТ-проектов и их совместной разработки, именуемого «соцсетью для разработчиков», — начали обращать внимание на попытки подсунуть им вредоносное ПО под видом предложений о работе. Вектор заражения на первый взгляд весьма типичен, однако эксперты компании PaloAltoNetworks обнаружили некоторые любопытные особенности.

Потенциальная жертва получает письмо от неизвестного «работодателя»; к сообщению прилагается RAR-архив (что, кстати, уже само по себе должно вызывать подозрения) с файлом Microsoft Word внутри. Этот файл, в свою очередь, содержит макрос, который выполняет вполне типовую для подобных случаев команду PowerShell на скачивание и запуск файла.

Отметим, что макросы в Microsoft Office по умолчанию давно отключены — как раз из соображений безопасности. Любой документ, полученный из неизвестного источника и требующий включения макросов для просмотра, — это уже тревожный сигнал.

Код запуска слабо замаскирован «мусорными» символами, которые позволяют избежать статического детектирования вредоносного кода. Двоичный файл, в свою очередь, запускает запрос HTTP GET Proxy к сервису toolbarqueries.google.com, который, как выясняется, маскирует запрос к совсем другому адресу. Как выяснили эксперты Palo Alto Networks, прямо перед GET-запросом программа направляет DNS-запрос, который возвращает значение 176.9.81[.]4.

В крупнейшую «соцсеть для разработчиков» подослали маскирующегося троянца

«Ответ (176.9.81[.]4) на изначальный DNS-запрос... используется как IP-адрес, на который на самом деле направляется HTTP-запрос, якобы устанавливающий соединение с toolbarqueries.google.com. Отправку запроса на совершенно другой сервер не так сложно реализовать, но сколько аналитиков увидят здесь DNS-запрос без [очевидного] последующего трафика? А это именно то, что и нужно Dimnie, чтобы избегать обнаружения», — говорится в описании атаки.

Необходимо упомянуть, что сервис toolbarqueries.google.com в 2016 г. убран из открытого доступа.

Когда Dimnie выводит данные с компьютера жертвы (в частности, он может делать скриншоты рабочего стола и красть другие данные), исходящий трафик также маскируется запросами HTTP POST к gmail.com.

По прозвищу «Дымный»

До самого последнего времени Dimnie был малоизвестен западным экспертам по безопасности в силу ограничений его географического ареала действия: троянец атаковал преимущественно русскоязычных пользователей. В 2015 г. его описала компания Trend Micro, оценив вредоносный потенциал как довольно низкий.

Тем не менее, Dimnie уже приблизительно три года сохраняет статус активной угрозы, в первую очередь, благодаря «дымовой завесе» над запросами, которыми маскируется его входящий и исходящий трафик.

«Сам по себе этот троянец не представляет большой угрозы: слишком неоригинален первоначальный вектор заражения, — говорит Ксения Шилак, директор по продажам компании SEC-ConsultRus. — Но своими методами маскировки трафика Dimnie напоминает шпионский инструментарий, используемый в узконаправленных APT-кампаниях. Тем более странным выглядит попытка использовать столь банальный способ заражения как макросы в Word. С другой стороны, недооценивать эффективность фишинга тоже не стоит: иногда на него попадаются даже люди с высоким уровнем технической подготовки».