Группа исследователей обнаружила вид фишинга, нацеленный на пользователей GitHub

В середине января группе исследователей стало известно о том, что некоторые разработчики получали письма с вредоносными вложениями. Владельцы аккаунтов GitHub получили письма с подобным содержанием:

Было получено много аналогичных вариантов сообщения, но все они содержали один и тот же вредоносный .doc-файл. В этом файле содержался код, который запускал PowerShell-скрипт. После этого происходила загрузка и запуск .exe-файла. Вот читаемая версия скрипта:

В начале зловред казался стандартным, но в процессе изучения стало понятно, что вредоносный код, который вызывается в результате исполнения скрипта, достаточно известен в сфере кибербезопасности. Вирус, известный как Dimnie, внедряется в основные процессы операционной системы для кражи информации. Изначально данная технология была ориентирована на заражение российских пользователей, но за 3 года (впервые разновидность этого вируса была обнаружена в 2014 году) он «мутировал», став более скрытным и распространившись за пределы России.

Подробности о схеме работы Dimnie можно прочитать в отчёте команды Unit 42, обратившей внимание на эту волну фишинговых писем.

Источник: Palo Alto Networks