Любителям скачивать пиратский софт в GitHub подсовывали троян, крадущий данные
Почти два десятка репозиториев в GitHub содержали искусственно раздутый архив RAR, в котором скрывался маленький файл с вредоносной программой RisePro. Этот вредонос-инфостилер выводил краденые данные в Telegram.
Дешевле не найдёте
Эксперты компании G DATA выявили почти два десятка репозиториев в GitHub, с которых раздавалось вредоносное ПО. Злоумышленники, стоявшие за кампанией, выдавали содержимое репозиториев за взломанное коммерческое программное обеспечение. На деле доверчивым пользователям загружался инфостилер - программа, предназначенная для кражи данных под названием RisePro.
Среди коммерческих программ, якобы предлагавшихся во взломанном виде, значились, в частности, антивирус AVAST, дорогостоящий, но, тем не менее, популярный среди музыкантов и звукоинженеров пакет FabFilter, а также утилиты DaemonTools, CCleaner, EaseUS Partition Master, VueScan и другие. Всего эксперты насчитали 17 репозиториев, связанных с 11 пользователями, каждый из которых содержал якобы отдельно взятый коммерческий пакет.
Справочный файл README.md содержал иконки в виде зелёных кружков, добавленных с помощью Unicode. Обычно в GitHub этими иконками обозначается статус автоматических сборок; тем самым злоумышленники пытались придать своим репозиториям легитимный вид.
В репозиториях лежит архив RAR, раздутый до 699 Мб, чтобы сойти за дистрибутив программного пакета; на деле же в нём содержится только один файл размером 3,43 Мб - загрузчик, который встраивает вредоносную программу в легитимные процессы AppLaunch.exe или RegAsm.exe
Telegram как промежуточное звено
RisePro был впервые замечен в конце 2022 г.: тогда он распространялся через киберкриминальный сервис PrivateLoader.
Написанный на языке C++, RisePro собирает значимую системную информацию и переправляет её как минимум в два приватных канала в Telegram. Недавние исследования компании Checkmarx также показали, что из бота злоумышленников можно выгружать собранную информацию и в другие аккауны в Telegram.
RisePro не единственный вредонос, активно использующий Telegram.
«Помимо RisePro, навскидку вспоминаются Masad Stealer, Zaraza Bot, ToxicEye - все они так или иначе используют возможности Telegram либо для вывода данных, либо для управления», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. По ее словам, любые платформы с защищёнными коммуникациями, позволяющие сохранять анонимность, неизбежно используются злоумышленниками во вред, но это проблема не самих коммуникационных платформ. «В случае с RisePro проблема в любителях пиратского софта, которые верят, что GitHub - удачное место для таких поисков, а на деле встречаются с неожиданными последствиями», - подытожила Анастасия Мельникова.
Как отмечено в публикации компании G DATA, злоумышленники сами присвоили своей кампании название GitGub. Все выявленные репозитории с вредоносами к настоящему моменту закрыты Microsoft.