Эксперты по кибербезопасности обнаружили тревожную тенденцию: злоумышленники начали активно использовать платформу GitHub для распространения вредоносного программного обеспечения (малвари). Эта новая тактика является частью масштабной кампании, направленной на обман пользователей и заражение их устройств опасными программами.
Эволюция вредоносной кампании
Ранее исследователи FACCT выявили сеть из более чем 1300 доменов, используемых для распространения малвари под видом популярных утилит и офисных приложений. Теперь киберпреступники расширили свой арсенал, включив в него GitHub — популярную платформу для разработчиков программного обеспечения.
Тактика социальной инженерии
Злоумышленники используют классические приемы социальной инженерии, создавая посты и комментарии рекламного характера на GitHub. Эти сообщения содержат ссылки на вредоносные ресурсы, замаскированные под легитимное программное обеспечение. Особую опасность представляет то, что хакеры не ограничиваются одним типом программ, а используют широкий спектр приманок, затрудняя выявление и блокировку вредоносной активности.
Анализ вредоносной активности на GitHub
Исследователи отмечают резкий рост активности злоумышленников на GitHub. В начале сентября 2023 года наблюдалось в среднем 25-40 вредоносных постов в день. Однако к середине месяца это число превысило 100 публикаций ежедневно, достигнув пика в 188 постов 19 сентября. Такая динамика свидетельствует о растущей популярности GitHub как платформы для распространения малвари.
Характеристики вредоносных аккаунтов
Аккаунты, используемые для распространения вредоносного контента, как правило, имеют следующие особенности:
- Недавняя дата создания
- Возможность компрометации легитимных учетных записей
- Использование кратких, но убедительных описаний программ
- Упоминание технических требований и преимуществ предлагаемого ПО
Основные семейства распространяемой малвари
Анализ вредоносных программ, распространяемых через GitHub, показал, что киберпреступники в основном фокусируются на трех семействах стилеров:
- Vidar: многофункциональный стилер, способный похищать криптовалюту, пароли и другую конфиденциальную информацию
- Cryptobot: специализированная малварь для кражи криптовалютных активов
- RedLine: мощный инфостилер, собирающий широкий спектр данных с зараженных устройств
Эта кампания представляет серьезную угрозу для пользователей, ищущих бесплатное или взломанное программное обеспечение. Важно помнить, что загрузка нелицензионного ПО не только нарушает закон, но и подвергает системы значительному риску заражения. Для защиты от подобных атак рекомендуется использовать только официальные источники программного обеспечения, регулярно обновлять антивирусные решения и проявлять бдительность при взаимодействии с незнакомыми ресурсами в интернете.
