Специалисты компании Avast выявили новую методику распространения криптовалютных майнеров. Как утверждают эксперты, хакеры добавляют код вредоносного программного обеспечения в копии проектов на портале GitHub.
«Ответвления» проектов (fork) на Github – это копии чужих проектов, содержащих некоторые изменения. Сейчас хакеры создают форки случайных проектов, а затем внедряют вредоносные файлы в структуру каталогов.
Пользователи могут не загружать вредоносные исполняемые файлы напрямую с GitHub. Вместо этого распространение вредоносного ПО через фишинговую кампанию. По словам экспертов, файл загружается при посещении пользователем сайта, на котором размещено фишинговое рекламное объявление, и если жертва кликает по одному из таких баннеров.
После клика по рекламному объявлению на компьютер пользователя осуществляется установка вредоносной программы, замаскированной под обновление для Adobe Flash Player. Его загрузка производится с GitHub, где размещен код вредоносной программы, спрятанный в копиях проектов.
Кроме того, данная программа осуществляет установку вредоносного расширения Chrome, которое показывает рекламные объявления в фоновом режиме и кликает по ним, что дает возможность хакерам получать более существенную прибыль из вредоносной кампании.
По мнению специалистов, сам факт размещения вредоносного ПО на GitHub является достаточно необычным, но этот метод имеет ряд преимуществ, например, неограниченную пропускную способность.
Исследователи утверждают, что хакеры также приняли дополнительные меры для того, чтобы оставаться незамеченными как можно дольше. Так, майнер настроен для того, чтобы использовать не более 50% мощностей процессора целевого устройства.
Сейчас администрация ресурса ведет активную работу с Avast по удалению вредоносных копий проектов, но хакеры также продолжают настойчиво загружать свое программное обеспечение в GitHub.
