Скачай меня полностью: ресурсы с кряками-вредоносами стали продвигать на GitHub
Летом мы опубликовали исследование, в котором аналитики Центра кибербезопасности F.A. C.C.T. рассказали про обнаруженную ими сеть из более чем 1300 доменов, распространяющих вредоносные программы под видом популярных утилит, офисных приложений вместе с ключами активации или активаторами. В итоге пользователи, пытавшиеся установить популярный софт, переставший работать в России, загружали на свои компьютеры шпионское ПО, стилеры и криптомайнеры.
Для продвижения вредоносных ресурсов используются различные сервисы. Например, в LinkedIn (заблокирован в России) было обнаружено более 300 уникальных аккаунтов, рекламирующих сайты со взломанным ПО. Больше всего учетных записей относилось к Пакистану (66%), Индии (8%), Бангладеш (3%).
Среди российских ресурсов информацию о преимуществах программ и ссылки на скачивание взломанных версий злоумышленники размещали на популярных российских социальных сетях, видеохостингах и образовательных платформах.
С недавнего времени злоумышленники стали продвигать ссылки на вредоносные ресурсы через GitHub — крупнейший веб-сервис для хостинга IT-проектов и их совместной разработки.
Статьи и приманки
В ходе мониторинга угроз аналитиками ЦК были обнаружены попытки загрузки вредоносного ПО, и как показал анализ инцидентов — пользователи перед загрузкой посещали GitHub. Более подробный поведенческий анализ подтвердил, что на начальной стадии использовались уже классические для данной кампании приманки: посты и комментарии рекламного характера для продвижения доменов с вредоносными программами под видом взломанного софта.
Рассмотрев различные посты, обсуждения и комментарии нельзя выделить какую-то одну конкретную программу, использовавшуюся в качестве приманки. Стоит отметить, что в части статей ссылки на скачивание вели на один и тот же файл.
Рис. 1. Пример описания программ
Если сравнивать описание программ в публикациях на Linkedin и GitHub, то они почти ничем не отличаются. Авторы сообщений на обоих ресурсах стараются максимально кратко, но доходчиво описать саму программу, а также подсветить ее плюсы и технические требования. В некоторых случаях можно увидеть статьи, в которых задействованы сразу несколько пользователей.
Рис. 2. Продвижение ВПО с помощью взломанного аккаунта
Если анализировать сами учетные записи, то некоторые аккаунты пользователей были созданы недавно, а некоторые, предположительно, были взломаны.
Рис. 3 Активность одного из аккаунтов с сентября 2024 года
Из интересного стоит отметить, что в архивах пароли публикуются в виде изображений.
Рис. 4 Распространение пароля в формате изображения
Рис. 5. Структура архива
В начале сентября в этой кампании был зафиксирован всплеск активности. Количество сообщений, опубликованных на GitHub составило в среднем 25–40 постов в день. Например, 5 сентября было замечено 26 постов, которые связаны со взломанным ПО, а в период с 17 сентября по 19 сентября число постов в день превышало сотню: 134, 166, 188. В итоге мы видим четырехкратный рост. Это может свидетельствовать только о том, что распространение вредоносного ПО на ресурсе GitHub набирает популярность. С 5 сентября по 19 сентября виден почти ежедневный рост количества постов.
Рис. 7. Появление постов по дням
Рис. 8. Посты со ссылками на вредоносные ресурсы
Также стоит отметить, что предпочтения по файлообменникам не поменялись со времени публикации исследования. ВПО все также размещается на площадках Mega и Mediafire.
Статистика по семействам
Если распределять распространяемое ВПО по семействам, то можно выделить три:
1. Vidar Stealer
2. Cryptobot
3. RedLine Stealer
Рис. 9. Распространяемые вредоносные программы
Cryptobot — Infostealer отличительной особенностью которого является похищение данных связанных с денежными средствами. Это могут быть данные браузера, криптокошелька, данные о кредитных картах и т.п.
RedLine Stealer — это вредоносная программа, доступная на подпольных форумах для продажи как в виде отдельных версий, так и по подписке. Эта вредоносная программа собирает информацию из браузеров, такую как сохраненные учетные данные, данные автозаполнения и сведения о кредитных картах.
Vidar — Infostealer и часто использует различные профили в качестве части своей C2 инфраструктуры. IP-адрес инфраструктуры C2 встраивается в профиль пользователя на таких платформах, как Steam или Telegram. Вредоносная программа может получить доступ к этому профилю, связаться с указанным IP-адресом и загрузить файлы конфигурации, инструкции и дополнительные вредоносные программы.
Заключение
Анализа данной схемы распространения вредоносного ПО показал, что она является продолжением исследованной нами ранее кампании. Не будет лишним напомнить наши рекомендации для защиты от подобных угроз:
Проводить регулярные обучения рядовых сотрудников организации для повышения знаний об актуальных угрозах в области информационной безопасности.
Рекомендовать сотрудникам не использовать личные устройства — ПК или ноутбуки — в рабочих целях.
Установить запрет рядовым пользователям самостоятельно устанавливать утилиты на рабочее устройство.
Активировать многофакторную аутентификацию (MFA), использовать ее как часть обязательной корпоративной IT-политики.
Проводить мониторинг фактов компрометации учетных записей корпоративных пользователей, их публикации на дарквеб-площадках, продажи в андеграундных магазинах, а также появления в слитых базах данных.
Использовать для защиты инфраструктуры комплексный подход, защищающий от различных векторов атак.