Исследователи кибербезопасности обнаружили ряд репозиториев GitHub, предлагающих взломанное программное обеспечение, которое используется для доставки похитителя информации под названием RisePro.
Согласно G DATA, кампания под кодовым названием gitgub включает 17 репозиториев, связанных с 11 различными учетными записями. С тех пор репозитории, о которых идет речь, были удалены дочерней компанией Microsoft.
"Репозитории выглядят аналогично, в них есть файл README.md с обещанием бесплатного взломанного программного обеспечения", - заявила немецкая компания по кибербезопасности.
"Зеленые и красные круги обычно используются на Github для отображения состояния автоматической сборки. Gitgub киберпреступники добавили четыре зеленые круги Юникода в их файле README.MD, что претендует на отображение статуса наряду с текущей датой и обеспечить чувство законности и новизны."
Список репозиториев выглядит следующим образом, каждый из них указывает на ссылку для скачивания ("digitalxnetwork[.] com"), содержащую архивный файл RAR -
- andreastanaj/AVAST
- andreastanaj/Sound-Booster
- aymenkort1990/fabfilter
- BenWebsite/-IObit-Smart-Defrag-Crack
- Faharnaqvi/VueScan-Crack
- javisolis123/Voicemod
- lolusuary/AOMEI-Поддержка
- lolusuary/Daemon-Tools
- lolusuary/EaseUS-Partition-Master
- lolusuary / УСПОКОИТЬ-2
- самое интересное /ccleaner
- rik0v/ManyCam
- Roccinhu/Tenorshare-Reiboot
- Roccinhu/Tenorshare-iCareFone
- True-Oblivion /AOMEI-Partition-Assistant
- вайбхавшиледар/droidkit
- вайбхавшиледар/TOON-BOOM-HARMONY
Фактическое содержимое файла, составляющее всего 3,43 МБ, действует как загрузчик для внедрения RisePro (версии 1.6) в либо AppLaunch.exe, либо RegAsm.exe.
RisePro попал в центр внимания в конце 2022 года, когда был распространен с использованием сервиса загрузки вредоносных программ с оплатой за установку (PPI), известного как PrivateLoader.
Написанный на C ++, он предназначен для сбора конфиденциальной информации с зараженных хостов и распространения ее по двум каналам Telegram, которые часто используются злоумышленниками для извлечения данных жертв. Интересно, что недавнее исследование Checkmarx показало, что можно проникать и пересылать сообщения от бота злоумышленника на другую учетную запись Telegram.
Разработка началась после того, как Splunk подробно описал тактику и методы, принятые кейлоггером Snake, описав его как вредоносную программу-похититель, которая "использует многогранный подход к удалению данных".
"Использование FTP облегчает безопасную передачу файлов, в то время как SMTP позволяет отправлять электронные письма, содержащие конфиденциальную информацию", - сказал Splunk. "Кроме того, интеграция с Telegram предлагает платформу связи в режиме реального времени, позволяющую немедленно передавать украденные данные".
Вредоносные программы Stealer становятся все более популярными, часто становясь основным источником программ-вымогателей и других серьезных утечек данных. Согласно отчету Specops, опубликованному на этой неделе, RedLine, Vidar и Raccoon стали наиболее широко используемыми похитителями, причем только на RedLine приходится кража более 170,3 миллионов паролей за последние шесть месяцев.
"Нынешний рост вредоносного ПО, похищающего информацию, является ярким напоминанием о постоянно развивающихся цифровых угрозах", - отметила Flashpoint в январе 2024 года. "Хотя мотивы его использования почти всегда коренятся в финансовой выгоде, похитители постоянно адаптируются, становясь более доступными и простыми в использовании".
