SOS :: Security Operation Space
28 марта, четверг, 00:00
|
Hot News:

Мошенники прячут инсталлятор майнера на Github

21 марта 2018 г., среда, 11:37

Киберпреступники создают на сервисе для разработчиков копии IT-проектов с вредоносным кодом.

Аналитики компании Avast Software сообщают о новом способе скрытого распространения майнеров криптовалют. Они обнаружили вредоносный инсталлятор, спрятанный в форках случайных IT-проектов на Github. Очевидно, что эти копии изначально создавались для мошеннических целей.

Обнаруженная зловредная программа распространяется исключительно посредством мошеннической рекламы. В основном она размещается на сайтах для взрослых или ресурсах, посвященных компьютерным играм. Помимо баннеров, привязанных к серверу с редиректором на Github, исследователи обнаружили портал, предлагающий тот же вредонос под видом эротической игры.

Для заражения ничего не нужно загружать непосредственно c сервиса для разработчиков, достаточно лишь нажать на рекламный баннер, который в ответ предлагает обновить якобы устаревший Adobe Flash Player. Если пользователь соглашается на апдейт, на компьютер начинает закачиваться замаскированное вредоносное ПО.

Примечательно, что, кроме криптомайнера, на устройство загружается вредоносное расширение Chrome. Для его активации принудительно завершаются все процессы браузера, чтобы жертва его перезапустила. Также по неизвестной причине вредонос завершает работу Opera и Amigo Free Browser. После перезагрузки Chrome вредоносное расширение начинает в фоновом режиме внедрять рекламу в результаты поисковой выдачи Google и Yahoo, а также накручивать клики на рекламных страницах, принося мошенникам дополнительную прибыль.

Однако основной полезной нагрузкой является майнер Monero, который также размещен на портале Github. Отметим, что эта валюта из-за высокой степени анонимности уже заработала репутацию «любимицы киберпреступников«. Для добычи Monero уже использовались и серверы Tesla Motors, и мощности смартфонов.

Используемый в данной кампании майнер снабжен цифровой подписью и рассчитан на то, чтобы воровство процессорных мощностей долгое время никто не замечал. Преступники умышленно загружают оборудование жертв не более чем наполовину.

Как отмечает Михал Салат (Michal Sal?t), директор Avast по исследованиям киберугроз, пользователи интересуются загрузкой компьютера, только когда он начинает медленно работать. Поэтому деятельность зловреда может долгое время оставаться незамеченной. Кроме того, программа уступает CPU другим процессам на устройстве и выключается при открытом диспетчере задач.

Руководство сервиса Github совместно с Avast уже инициировало масштабную работу по удалению зараженных копий проектов. Настойчивость злоумышленников удивительна: несмотря на многократные чистки сервиса от вредоносного ПО, те продолжают загружать его обратно. Эксперты признают, что использование GitHub для размещения вредоносного кода — необычный ход, однако имеющий свои преимущества: зловред хранится бесплатно на надежном ресурсе с неограниченной пропускной способностью.

Сколько заработали преступники на этой кампании — неизвестно. Исследователи попытались проверить кошелек, на который поступают добытые за счет чужих мощностей монеты, однако система Monero отказала им в доступе.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.167
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.