Разработчики приложений, которые пользуются GitHub, пострадали от новой фишинговой кампании. Киберпреступники организовали для пользователей GitHub рассылку электронных писем, которые заражают системы модульной троянской программой Dimnie.
Первые сообщения о фишинговых письмах для пользователей GitHub появились в конце января. Но в ходе расследования экспертов из Palo Alto выяснилось, что кибератаки начались на несколько недель раньше, чем появились первые жалобы на фишинговые письма. Троянская программа Dimnie не является популярной, но киберкампания с ее применением не имеет каких-либо отличий от иных подобных атак.
Хакеры организовали для пользователей GitHub рассылку писем, содержавших предложение о работе. В одном из фишинговых писем говорится, что автор сообщения якобы обнаружил программу, разработанную адресатом, и теперь предлагает ему написать код для нового проекта. В другом письме сказано, что некий Адам Бухбиндер нашел репозиторий разработчика на GitHub и, «сильно впечатлившись», предлагает поучаствовать в работе над своим проектом.
Злоумышленники предлагают жертвам работу, указывая при этом, что все условия якобы записаны в документе, который прикреплен к письму. Во вложении находится архив. После его распаковки открывается документ Word с макросами, после активации которых выполняются PowerShell-команды для загрузки и инсталляции троянской программы Dimnie.
Как утверждают исследователи, версия вредоносной программы, применяемая в фишинговой кампании, совсем новая. Первая версия Dimnie появилась в 2014 году.
Dimnie маскирует вредоносный трафик, а выполнение модулей программы происходит в памяти операционной программы, вследствие чего не остается следов на диске пользователя. Dimnie добавляет свои модули в процессы приложений, собирает и передает информацию на командный сервер, выполняет функцию кейлоггера, делает скриншоты, а также может удалить себя, получив соответствующую команду.